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内 容 简 介 
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评估 、 安 全 需求 分 析 , 到 安全 保护 策略 和 安全 措施 选择 的 工程 实践 方法 和 实务 操作 的 详细 描述 。 
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INTRODUCTION 


出 版 说 明 


由 于 网 络 应 用 越 来 越 普及 ,信息 化 的 社会 已 经 呈现 出 越 来 越 广 阔 的 前 
景 ,可 以 肯定 地 说 ,在 未 来 的 社会 中 ,电子 支付 .电子 银行 、 电 子 政务 以 及 多 方 
面 的 网 络 信 息 服务 将 深入 到 人 类 生活 的 方方面面 。 同 时 , 随 之 面临 的 信息 安 
全 问题 也 日 益 突出 ,非法 访问 、 信 息 窃取 ,甚至 信息 犯罪 等 恶意 行为 导致 信息 
的 严重 不 安全 。 信 息 安全 问题 已 由 原来 的 军事 国防 领域 扩展 到 整个 社会 , 因 
此 社会 各 界 对 信息 安全 人 才 有 强烈 的 需求 。 

信息 安全 本 科 专 业 是 X200 年 以 来 结合 我 国 特色 开设 的 新 的 本 科 专 业 , 是 
计算 机 、 通 信和 ,数学 等 领域 的 交叉 学 科 , 主 要 研究 确保 信息 安全 的 科学 和 技 
术 。 自 专业 创办 以 来 ,各 个 高 校 在 课程 设置 和 教材 研究 上 一 直 处 于 探索 阶 
段 。 但 各 高 校 由 于 本 身 专业 设置 上 来 自 于 不 同 的 学 科 , 如 计算 机 、 通 信和 数 
学 等 ,在 课程 设置 上 也 没有 统一 的 指导 规范 ,在 课程 内 容 、 深 浅 程度 和 课程 衔 
接 上 ,存在 模糊 不 清 、 内 容重 又 、 知 识 覆 盖 不 全 面 等 现象 。 因 此 ,根据 信息 安 
全 类 专业 知识 体系 所 覆盖 的 知识 点 ,系统 地 研究 目前 信息 安全 专业 教学 所 涉 
及 的 核心 技术 的 原理 、 实 践 及 其 应 用 ,合理 规划 信息 安全 专业 的 核心 课程 ,在 
此 基础 上 提出 适合 我 国信 息 安 全 专业 教学 和 人 才 培 养 的 核心 课程 的 内 容 框 
架 和 知识 体系 ,并 在 此 基础 上 设计 新 的 教学 模式 和 教学 方法 ,对 进一步 提高 
国内 信息 安全 专业 的 教学 水 平和 质量 具有 重要 的 意义 。 

为 了 进一步 提高 国内 信息 安全 专业 课程 的 教学 水 平和 质量 ,培养 适应 社 
会 经 济 发 展 需要 的 、 兼 具 研究 能 力 和 工程 能 力 的 高 质量 专业 技术 人 才 。 在 教 
育 部 相关 教学 指导 委员 会 专家 的 指导 和 建议 下 ,清华 大 学 出 版 社 与 国内 多 所 
重点 大 学 共同 对 我 国信 息 安 全 人 才 培 养 的 课程 框架 和 知识 体系 ,以 及 实践 教 
学 内 容 进 行 了 深入 的 研究 ,并 在 该 基础 上 形成 了 “信息 安全 人 才 需 求 与 专业 
知识 体系 .课程 体系 的 研究 ”等 研究 报告 。 

本 系列 教材 是 在 课程 体系 的 研究 基础 上 总 结 、 完 善 而 成 ,力求 充分 体现 
科学 性 、 先 进 性 、 工 程 性 ,突出 专业 核心 课程 的 教材 ,兼顾 具有 专业 教学 特点 
的 相关 基础 课程 教材 ,探索 具有 发 展 潜力 的 选修 课程 教材 ,满足 高 校 多 层次 

本 系列 教材 在 规划 过 程 中 体现 了 如 下 一 些 基本 组 织 原则 和 特点 。 


I 
息 安全 管理 概论 


(了) 反映 信息 安全 学 科 的 发 展 和 专业 教育 的 改革 ,适应 社会 对 信息 安全 人 才 的 培养 需 
求 , 教 材 内 容 坚持 基本 理论 的 扎实 和 清晰 ,反映 基本 理论 和 原理 的 综合 应 用 ,在 其 基础 上 强 
调 工程 实践 环节 ,并 及 时 反映 教学 体系 的 调整 和 教学 内 容 的 更 新 。 

(2 反映 教学 需要 ,促进 教学 发 展 。 教 材 要 适应 多 样 化 的 教学 需要 ,正确 把 握 教 学 内 容 
和 课程 体系 的 改革 方向 ,在 选择 教材 内 容 和 编写 体系 时 注意 体现 素质 教育 、 创 新 能 力 与 实践 
能 力 的 培养 ,为 学 生 知识 、 能 力 、 素 质 协 调 发 展 创造 条 件 。 

(3 实施 精品 战略 ,突出 重点 。 规 划 教 材 建 设 把 重点 放 在 专业 核心 (基础 ) 课 程 的 教材 
建设 上 ; 特别 注意 选择 并 安排 一 部 分 原来 基础 比较 好 的 优秀 教材 或 讲义 修订 再 版 ,逐步 形 
成 精品 教材 ; 提倡 并 鼓励 编写 体现 工程 型 和 应 用 型 的 专业 教学 内 容 和 课程 体系 改革 成 果 的 
教材 。 

(有 支持 一 纲 多 本 ,合理 配套 。 专 业 核 心 课 和 相关 基础 课 的 教材 要 配套 ,同一 门 课程 可 
以 有 多 本 具有 各 自 内 容 特 点 的 教材 。 处 理 好 教材 统一 性 与 多 样 化 ,基本 教材 与 辅助 教材 . 教 
学 参考 书 ,文字 教材 与 软件 教材 的 关系 ,实现 教材 系列 资源 的 配套 。 

(9 依靠 专家 ,择优 落实 。 在 制定 教材 规划 时 ,依靠 各 课程 专家 在 调查 研究 本 课程 教材 
建设 现状 的 基础 上 提出 规划 选 题 。 在 落实 主编 人 选 时 ,要 引入 竞争 机 制 ,通过 申报 、 评 审 确 
定 主编 。 书 稿 完成 后 认真 实行 审 稿 程序 ,确保 出 书 质量 。 

繁荣 教材 出 版 事业 ,提高 教材 质量 的 关键 是 教师 。 建 立 一 支 高 水 平 的 .以 老 带 新 的 教材 
编写 队伍 才能 保证 教材 的 编写 质量 ,希望 有 志 于 教材 建设 的 教师 能 够 加 入 到 我 们 的 编写 队 
伍 中 来 。 
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FOREWORD 


前 言 


这 是 一 本 面向 大 专 院 校 信息 安全 管理 专业 的 基础 教材 ,读者 对 象 定位 于 
大 学 计算 机 和 通信 类 一 级 学 科 下 的 专业 硕士 \ 信 息 安全 本 科学 生 , 以 及 从 事 
信息 系统 管理 和 信息 安全 管理 工作 的 工程 技术 人 员 。 

本 书 的 作者 曾 在 204 年 承担 由 国务 院 信息 化 工作 办 公 室 下 达 的 “信息 安 
全 管理 指南 ”研究 项 目 , 此 后 十 年 来 作者 与 同事 们 在 信息 安全 本 科 和 专业 硕 
士 的 教学 中 结合 项 目的 研究 成 果 致 力 于 对 信息 安全 管理 理论 和 工程 实践 进 
行 与 时 俱 进 的 探索 ,获得 了 一 些 新 的 知识 与 研究 成 果 , 在 此 基础 上 编撰 成 本 
书 ,以 此 奉献 给 国内 从 事 信 息 安 全 教学 与 信息 安全 管理 的 朋友 人们。 虽然 作 者 
尽 了 最 大 努力 ,并 力求 在 书稿 中 体现 中 国 特色 和 国家 对 信息 安全 管理 的 方针 
政策 ,但 由 于 信息 安全 问题 随 着 信息 化 的 发 展 不 断 出 现 新 情况 ,有 的 情况 符 
合 预期 ,有 的 情况 则 需要 继续 审视 ,加 之 作者 的 视野 和 水 平 所 限 , 书 中 仍 存在 
需要 探索 和 商机 ,甚至 错误 的 地 方 ; 更 由 于 作者 在 信息 安全 管理 理论 和 方法 
研究 方面 的 视角 可 能 与 国内 同行 有 所 不 同 , 因 此 本 书 中 如 有 与 他 人 观点 和 管 
理 实践 不 一 致 的 地 方 , 则 应 该 是 可 以 在 学 术 上 争鸣 的 见仁见智 的 事情 ; 但 作 
者 和 同事 们 将 尽 最 大 努力 ,与 国内 同行 们 继续 努力 ,虚心 学 习 他 们 的 研究 经 
验 和 成 果 , 以 矫正 .丰富 和 完善 我 们 在 这 一 领域 的 研究 和 实践 。 我 们 希望 , 现 
在 呈现 给 读者 朋友 的 这 本 书 能 对 读者 朋友 们 系统 地 认识 信息 安全 管理 中 的 
问题 有 所 帮助 。 

本 书 既 对 信息 安全 管理 理论 与 方法 论 有 较为 全 面 的 论述 ,也 对 信息 安全 
管理 的 工程 技术 实践 做 了 方法 论 的 总 结 ,其 中 涉及 的 内 容 有 识别 信息 系统 及 
资源 的 方法 和 分 类 原则 ,识别 信息 系统 资产 的 脆弱 性 、 威 胁 、 影 响 ,进行 风险 
分 析 的 过 程 描述 ,以 及 与 信息 系统 安全 等 级 保护 有 关 的 可 操作 性 技术 方法 ; 
从 信息 安全 管理 角度 进行 基于 风险 管理 的 从 资源 分 析 、 风 险 分 析 与 评估 、 安 
全 需求 分 析 到 安全 保护 策略 和 安全 措施 选择 的 工程 实践 方法 和 实务 操作 的 
详细 描述 。 

本 书 由 胡 勇 、 吴 少 华 编写 ,其 中 胡 勇 负责 设计 全 书 的 结构 ,并 编写 第 1.3.6 
章 , 吴 少 华 编写 第 2.4.5 章 以 及 附录 。 


息 安全 管理 概论 


本 书 的 编撰 得 到 了 戴 宗 坤 、 罗 万 伯 两 位 老师 的 热情 鼓励 和 直接 指导 ,在 此 表示 衷心 的 
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1.1 背景 


我 国 的 信息 化 建设 正 处 在 蓬勃 发 展 时 期 ,各 种 基于 互联 网 的 信息 化 应 用 
如 雨后春笋 不 断 涌现 ; 各 种 组 织 或 机 构 出 于 管理 和 业务 流程 的 需要 已 经 或 正 
在 建设 自己 的 网 络 信息 系统 ,这 些 信息 系统 或 为 组 织 业 务 提供 自动 化 ,数字 
化 、 网 络 化 管理 的 技术 支持 和 决策 辅助 ,或 为 社会 提供 信息 服务 ,或 为 个 人 、 
团体 提供 交流 平台 ,等 等 ,由 此 催生 出 一 大 批 新 兴 产 业 。 由 于 网 络 信息 系统 
的 高 度 互 连 互通 性 和 其 技术 标准 的 开放 性 ,对 安全 性 的 考虑 不 足 , 以 及 存在 
各 种 各 样 的 威胁 ,使 信息 系统 面临 信息 泄露 . 自 改 ,身份 被 假冒 ,网 络 活动 被 
监控 ,甚至 数据 .组件 、 系 统 被 损 或 被 毁 等 风险 ,从 而 导致 有 形 无 形 的 资产 损 
失 或 系统 故障 ,瘫痪 直至 崩溃 。 这 些 问 题 就 是 信息 安全 问题 ,由 此 而 伴生 的 
另 一 个 问题 就 是 信息 系统 的 安全 保障 问题 。 

信息 系统 安全 保障 是 一 个 很 广泛 的 概念 ,本 书 重点 从 管理 角度 就 开放 互 
连 网 络 环境 下 的 信息 系统 的 安全 保障 问题 进行 系统 论述 ,包括 信息 系统 在 设 
计 、 开 发 实施. 运行 和 维护 直至 报废 的 整个 生命 周期 的 安全 保障 问题 ,给 出 
解决 问题 的 管理 原则 和 工程 方法 ,目的 在 于 确保 信息 系统 在 国家 法 律 法 规 框 
架 内 的 安全 、 有 序 和 健康 的 运行 。 

为 叙述 方便 ,本 书 对 信息 系统 安全 和 信息 安全 的 概念 不 做 特别 区 分 , 同 
理 对 信息 系统 安全 保障 和 信息 安全 保障 也 不 做 特别 区 分 。 但 是 信息 安全 保 
障 和 信息 系统 安全 保障 是 有 区 别 的 ,前 者 是 一 个 更 大 范围 的 概念 ,后 者 被 包 
含 在 前 者 中 。 

信息 系统 安全 保障 涉及 保护 信息 与 系统 和 对 抗 敌 对 威胁 这 两 方面 的 高 
技术 综合 应 用 。 在 这 一 应 用 过 程 中 又 要 求 将 技术 措施 和 法 律 性 的 行政 管控 
手段 结合 起 来 。《 国 家 信息 化 领导 小 组 关于 加 强 信息 安全 保障 工作 的 意见 》 
(中 办 发 [2003]27 号 文 ) 明 确 规定 ,国家 对 信息 安全 保障 工作 的 基本 原则 是 
“立足 国情 ,以 我 为 主 ,坚持 管理 与 技术 并 重 ; 正确 处 理 安全 与 发 展 的 关系 , 统 
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筹 规划 ,突出 重点 ,强化 基础 性 工作 ; 明确 国家 企业 ,个 人 的 责任 和 义务 ; 充分 发 挥 各 方面 
的 积极 性 ,共同 构筑 国家 信息 安全 保障 体系 。 "科学 的 信息 安全 管理 方法 与 实践 对 于 信息 安 
全 保障 的 贡献 在 于 两 个 方面 ,一 是 通过 管理 将 信息 安全 技术 转化 为 信息 安全 保障 能 力 , 二 是 
以 管理 优势 弥补 技术 的 不 足 和 缺失 ,全面 优 化 和 提升 信息 安全 保障 能 力 。 


1.2 目的 和 范围 


本 书 针 对 计算 机 网 络 信息 系统 在 开放 互连网 络 环境 下 的 安全 管理 问题 给 出 指导 性 的 原 
则 和 工程 方法 ,包括 从 管理 角度 对 规划 、 设 计 、 开 发 实施、 运行 和 维护 信息 系统 的 安全 问题 
的 识别 到 确保 信息 系统 的 运行 始终 处 于 安全 ,健康 有 序 和 可 控 的 状态 所 涉及 的 技术 和 非 技 
术 的 方法 和 原则 ,以 供 各 类 信息 系统 在 规划 、 设 计 、 开 发 .施工 和 运行 维护 过 程 中 参考 。 


1.3 适用 性 


本 书 关于 信息 安全 管理 的 技术 和 非 技术 的 工程 方法 和 原则 主要 适用 于 开放 系统 互连网 
络 环境 下 的 各 类 信息 系统 ,包括 计算 机 网 络 信息 系统 和 公用 通信 网 络 系统 等 ,以 及 与 信息 技 
术 有 关 的 网 络 基础 设施 。 


1.4 本 书 结构 


本 书 共 6 章 , 第 1 章 是 引言 ; 第 2 章 为 本 书 直接 引用 的 基本 术语 和 定义 ( 依 其 在 本 书 中 
首次 出 现 的 顺序 排列 ) 以 中 文 形式 给 出 ,同时 给 出 相应 的 英文 单词 或 词组 ; 第 3 章 是 信息 安 
全 管理 概述 ; 第 4 章 为 信息 安全 管理 和 组 织 结构 ; 第 5 章 是 信息 管理 方法 与 过 程 ; 第 6 章 
为 信息 安全 管理 的 实施 。 附 录 部 分 给 出 了 与 本 书 内 容 有 关 的 名 词 和 术语 (以 英文 字母 升序 
排列 ,同时 给 出 相应 的 中 文 单词 与 词组 ) 的 词 条 性 释义 ,以 及 英文 缩 略 请 的 全 称 和 对 应 的 中 
文 名 词 或 术语 。 


1.5 习题 与 思考 题 


1. 查找 并 阅读 中 办 发 L2003]27 号 文件 ,深入 理解 其 中 关于 安全 与 发 展 的 关系 、 统 筹 规 
划 和 突出 重点 的 论述 。 

2. 说 明 信 息 安全 管理 与 信息 安全 技术 之 间 的 关系 。 

3. 信息 安全 管理 在 信息 系统 安全 保障 体系 中 的 地 位 和 作用 。 


本 书 直接 引用 的 术语 和 定义 ”第 2 章 


2.1 术语 


信息 技术 (Information Technology,IT) 

信息 技术 指 获取 存储. 加工 .变换 .显示 和 传输 文字 、 数 值 . 图 像 与 视频 、 
音频 和 语言 信息 的 技术 ,以 及 提供 这 些 技术 的 方法 与 设备 的 总 称 。 这 一 术语 
有 了 时 与 自动 电子 处 理 设备 的 含义 很 难 严格 区 分 。 

从 对 信息 的 开发 和 使 用 角度 看 ,信息 技术 可 分 为 3 个 层次 : 第 一 层 是 硬 
件 ,主要 指数 据 的 获取 、 存 储 、 处 理 、 显 示 和 传输 的 计算 机 和 网 络 通信 设备 或 
组 件 技术 ; 第 二 层 是 信息 加 工 与 通信 软件 ,包括 数据 的 获取 、 存 储 、 加 工 \、 显 示 
和 传输 的 逻辑 运算 和 网 络 通信 有 关 的 各 种 软件 系统 或 模块 技术 ,这 部 分 技术 
只 对 开发 人 员 可 见 ; 第 三 层 是 应 用 软件 , 指 面向 终端 用 户 进行 检索 查询、 完 
成 业务 流程 、 统 计 分 析 、 辅 助 决策 等 软件 系统 或 模块 技术 。 

信息 技术 安全 ,IT 安全 (IT security) 

信息 技术 安全 指 获得 并 维持 信息 技术 系统 及 其 组 件 机 密 性 、 完 整 性 、 可 
用 性 和 可 控 性 等 有 关 的 所 有 方面 。 

信息 技术 安全 策略 ,IT 安全 策略 (IT security Policy) 

信息 技术 安全 策略 指 对 一 个 组 织 的 信息 系统 的 所 有 资产 (包括 敏感 信息 
在 内 ) 实 施 管理 .保护 以 及 分 配 控制 措施 的 规则 和 指令 。 

信息 安全 (information security) 

信息 安全 指 保 证 信息 和 信息 系统 的 机 密 性 、 完 整 性 、 可 用 性 和 可 控 性 ,从 
而 使 信息 和 信息 系统 免 遭 未 授权 的 访问 、 占 用 、 汇 露 , 干 扰 、 修 改 、 重 放 和 破 
坏 , 并 保证 使 用 和 操作 信息 和 信息 系统 的 任何 实体 的 身份 不 被 假冒 或 欺骗 、 
实体 的 来 源 与 行为 可 被 唯一 跟踪 和 不 可 抵赖 的 总 的 特性 。 其 中 ,机 密 性 指 对 
信息 (也 包括 任何 形式 的 个 人 隐私 和 专用 权 信息 ) 和 信息 系统 的 访问 或 泄露 
只 限于 被 授权 者 的 特性 ; 完整 性 指 信息 和 信息 系统 不 受到 任何 形式 的 未 授权 
修改 和 重 放 的 特性 ,还 包括 信息 和 信息 系统 的 来 源 的 真实 性 ; 可 用 性 指 信息 
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和 信息 系统 能 及 时 地 和 可 靠 地 为 授权 者 提供 访问 和 使 用 ,以 及 能 在 面 对 各 种 攻击 或 出 现 差 
错 和 故障 的 情况 下 继续 提供 实质 性 服务 ,并且 能 够 及 时 地 恢复 正常 服务 的 特性 ; 可 控 性 指 
对 信息 系统 中 出 现 的 可 预见 和 未 预见 的 事件 具有 应 对 措施 或 应 急 处 理 预案 ,可 控制 事态 的 
发 展 。 

国家 (信息 ) 安 全 系统 (National Security System) 

国家 (信息 ) 安 全 系统 指 由 某 一 (国家 或 政府 ) 机 构 ,或 机 构 的 合约 方 ,或 机 构 所 信任 的 其 
他 组 织 所 运行 或 使 用 (包括 通信 基础 设施 在 内 ) 的 信息 系统 。 这 些 信息 系统 涉及 (国家 ) 情 
( 谍 ) 报 活动 ,国计民生 和 社会 稳定 ,与 国家 安全 有 关 的 密码 活动 ,军事 力量 的 指挥 与 控制 , 作 
为 武器 与 武器 系统 组 成 部 分 的 装备 。 

资产 (asset) 

资产 指 信息 系统 中 对 于 一 个 组 织 具 有 价值 的 任何 东西 和 事物 (包括 硬件 的 或 软件 的 ,有 
形 的 或 无 形 的 ,货币 化 的 或 非 货币 化 的 ,等 等 )。 对 资产 的 估价 可 采用 定量 、 定 性 或 定量 与 定 
性 结合 的 计算 方法 。 

机 密 性 (confidentiality) 

机 密 性 指 对 信息 和 信息 系统 的 访问 和 泄露 只 限于 被 授权 者 的 特性 ,包括 任何 形式 的 个 
人 隐私 和 专用 权 信 息 , 也 可 理解 为 是 信息 和 信息 系统 对 未 授权 访问 者 不 知 其 存在 、 不 可 访问 
(或 不 可 接近 ) 和 不 可 理解 的 特性 。 

数据 完整 性 (data integrity) 

数据 完整 性 指数 据 不 受到 任何 形式 的 未 授权 修改 和 重 放 的 特性 ,并 且 包 括 保证 信息 ( 数 
据 ) 来 源 的 真实 性 ,其 中 的 修改 包括 对 数据 的 增加 ,减少 、 插 入、 生成 和 删除 等 操作 行为 。 

完整 性 (integrity) 

完整 性 是 对 数据 完整 性 概念 的 合理 延伸 , 指 信息 体 和 信息 系统 (包括 软 / 硬 件 子 系统 和 
组 (器 ) 件 ) 不 受到 任何 形式 的 未 授权 修改 和 重 放 的 特性 ,并 且 包 括 保 证 信息 体 和 信息 系统 来 
源 的 真实 性 。 完 整 性 还 适用 于 对 连接 的 描述 , 即 连接 完整 性 。 

可 用 性 (availability) 

可 用 性 指 信息 和 信息 系统 能 适时 地 和 可 靠 地 为 授权 者 提供 访问 和 使 用 的 服务 能 力 , 以 
及 能 在 面 对 各 种 攻击 或 出 现 差错 和 故障 的 情况 下 继续 提供 实质 性 服务 ,并 且 能 够 及 时 地 恢 
复 正 常服 务 的 特性 。 

可 确认 性 (accountability, 又 称 可 审查 性 或 可 追查 性 ) 

可 确认 性 是 一 种 保证 某 一 实体 的 行为 可 被 唯一 跟踪 到 该 实体 的 特性 。 

真实 性 (authenticity) 

真实 性 是 保证 一 个 实体 或 资源 的 身份 及 来 源 就 是 其 所 声称 的 那个 实体 或 资源 的 身份 和 
来 源 的 特性 。 真 实 性 往往 通过 对 用 户 、 进 程 协 议 层 (例如 网 络 层 \ 传 输 层 等 )、 系 统 和 信息 等 
实体 的 鉴别 来 实现 。 

抗 抵赖 性 (non-repudiation) 

抗 抵赖 性 指 对 否认 或 抵赖 曾经 使 用 和 操作 过 信息 或 信息 系统 的 行为 以 及 操作 的 内 容 进 
行 对 抗 性 证 实 的 特性 。 
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脆弱 性 (vulnerability) 

脆弱 性 指 一 个 或 一 组 信息 系统 资源 的 弱点 或 缺陷 。 这 些 弱 点 或 缺陷 可 能 导致 在 规程 
(协议 .格式 等)、 系统 设计 .系统 实现 .内 部 控制 和 运行 等 方面 被 敌对 实体 (威胁 ) 开 发 和 
利用 。 

威胁 (threat) 

威胁 指 自然 或 人 为 (有 意 或 无 意 ) 地 限制 .阻止 破坏 信息 系统 正常 运营 ,或 降低 服务 (处 
理 ) 能 力 ,或 降低 系统 或 设备 能 力 的 有 效 性 ,或 泄漏 和 窃取 信息 和 系统 资产 等 的 潜在 力量 、 能 
力 和 战略 目标 的 总 和 。 威 胁 包括 对 信息 和 系统 的 机 密 性 、 完 整 性 、 可 用 性 、 可 确认 性 和 抗 抵 
赖 性 等 特性 造成 危害 的 所 有 因素 。 

影响 (impact) 

影响 指 不 期 望 的 事件 所 引起 的 后 果 , 包 括 有 形 的 和 无 形 的 ,货币 化 的 和 非 货币 化 的 
损失 。 

风险 (risk) 

风险 指 给 定 的 威胁 利用 某 一 或 某 组 (信息 系统 ) 资 源 的 脆弱 性 对 一 个 组 织造 成 损失 的 可 
能 性 (概率 ) 以 及 损失 (影响 /后 果 ) 的 总 和 。 

风险 分 析 (risk analysis) 

风险 分 析 指 识别 风险 的 时 间 和 空间 分 布 及 强度 (或 等 级 ) ,以 此 导出 防范 风险 的 安全 需 
求 的 过 程 。 

风险 管理 (risk management) 

风险 管理 指 通过 适当 的 技术 和 管理 措施 实现 阻止 降低 、 消 除 、 转 移 或 接受 影响 信息 系 
统 资产 安全 性 的 不 定 因素 的 总 过 程 ,包括 风险 分 析 、 安 全 需求 分 析 安全 保护 措施 的 选择 、 实 
现 与 测试 .安全 评估 以 及 所 有 与 安全 有 关 的 管理 活动 。 

残留 风险 (residual risk) 

残留 风险 指 信息 系统 在 采取 安全 保护 措施 后 仍 未 消除 的 风险 ,对 残留 风险 必须 评估 其 
是 否 可 接受 。 

安全 措施 (safeguard) 

安全 措施 也 称 安全 保护 措施 ,是 阻止 \ 降 低 、 消 除 或 转移 风险 的 实践 ,程序 和 机 制 。 

积极 防御 (Active defence) 

积极 防御 也 称 主动 防御 ,其 含义 是 坚持 用 发 展 的 思路 辩证 地 认识 和 解决 信息 安全 保护 
问题 ,主动 地 应 对 安全 风险 。 在 对 信息 安全 风险 进行 充分 分 析 和 评估 的 基础 上 构造 安全 防 
护 与 安全 监管 结合 的 保护 体系 ,加 强 预警 .应急 处 理 和 灾难 备份 。 

基线 控制 (baseline control) 

基线 控制 指 一 个 (行业 ) 系 统 或 组 织 的 信息 系统 从 安全 保障 工程 角度 建立 的 安全 保护 措 
施 的 最 小 集 。 

组 织 (Organization) 

组 织 指 一 个 机 构 管理 下 的 具有 共同 利益 和 共同 安全 属性 的 业务 单位 或 部 门 的 总 称 。 例 
如 ,一 个 企业 .一 个 机 关 或 一 个 法 人 单位 在 本 书 中 都 以 组 织 代称 ,有 时 也 称 为 团体 或 共同 体 。 


6 
0 


2.2 习题 与 思考 题 


. 理解 机 密 性 、 完 整 性 和 可 用 性 的 含义 。 

. 信息 系统 资源 和 资产 有 什么 区 别 与 关系 ? 

. 脆弱 性 和 威胁 有 什么 关系 ? 

.风险 管理 包括 哪些 过 程 ” 其 中 涉及 哪些 活动 内 容 ? 

. 残留 风险 的 含义 是 什么 ? 为 什么 说 不 宜 也 不 能 完全 消除 残留 风险 ? 


> 


信息 安全 管理 概述 第 3 章 


3.1 信息 安全 管理 的 总 体 要求 和 基本 原则 


3.1.1 总 体 要求 


按照 (国家 信息 化 领导 小 组 关于 加 强 信息 安全 保障 工作 的 意见 》 中 办 发 
[2003]27 号 文 ) 的 精神 ,信息 安全 保障 工作 的 总 体 要 求 概括 为 坚持 积极 防御 、 
综合 防范 的 方针 ,全 面 提 高 信息 安全 防护 能 力 , 重 点 保障 基础 信息 网 络 和 重 
要 信息 系统 安全 ,创建 安全 健康 的 网 络 环境 ,保障 和 促进 信息 化 发 展 ,保护 公 
众 利益 ,维护 国家 安全 。 

积极 防御 就 是 要 坚持 用 发 展 的 思路 辩证 地 认识 和 解决 信息 安全 问题 ,在 
对 信息 安全 风险 进行 充分 分 析 和 评估 的 基础 上 构造 安全 防护 与 安全 监管 结 
合 的 保护 体系 ,加 强 预警 .应 急 处 理 和 灾难 备份 。 

综合 防范 就 是 在 预防 ,监控 ,应 急 处 理 `, 对 抗 和 打击 犯罪 等 环节 从 法 律 、 
管理 技术. 人员 等 方面 采用 多 层次 立体 .全面 的 防护 措施 ,充分 发 挥 国家 、 
社会 .组 织 和 个 人 的 作用 ,全 社会 共同 构筑 国家 信息 安全 保障 体系 。 


3.1.2 基本 原则 


《国家 信息 化 领导 小 组 关于 加 强 信息 安全 保障 工作 的 意见 》( 中 办 发 
[2003]27 号 文 ) 指 出 ,信息 安全 保障 工作 的 基本 原则 是 “立足 国情 ,以 我 为 主 ， 
坚持 管理 与 技术 并 重 ; 正确 处 理 安全 与 发 展 的 关系 ,以 安全 保 发 展 ,在 发 展 中 
求 安 全 ; 统筹 规划 ,突出 重点 ,强化 基础 性 工作 ; 明确 国家 企业、 个 人 的 责任 
和 义务 ,充分 发 挥 各 个 方面 在 信息 安全 保障 工作 中 的 积极 性 ”。 

“增强 国家 综合 实力 ,促进 经 济 社会 的 发 展 ? 是 信息 化 的 根本 目的 , 信 
息 安全 保障 为 信息 化 的 发 展 保驾 护航 。 将 信息 安全 问题 绝对 化 ,或 脱离 发 
展 过 程 的 现实 而 盲目 追求 信息 安全 是 有 害 的 ; 同样 ,只 强调 信息 化 应 用 , 忽 
视 信息 安全 问题 则 是 男 一 个 极端 的 错误 倾向 ,必须 坚持 以 安全 保 发 展 ,在 
发 展 中 求 安 全 的 辩证 思维 。 同 样 ,信息 安全 中 的 技术 与 管理 也 是 辩证 统一 
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的 。 在 强调 信息 安全 保障 工作 中 的 高 技术 防护 和 对 抗 特 点 时 必须 十 分 重视 管理 的 作用 。 
科学 的 管理 不 仅 贯 穿 信 息 安 全 保障 的 全 过 程 ,而 且 是 将 信息 安全 技术 转化 为 保证 能 力 的 

我 国信 息 安全 保障 中 的 主要 设备 和 核心 技术 受制 于 人 的 现实 ,要 求 我 们 必须 充分 发 挥 
政治 和 制度 优势 ,强化 信息 安全 意识 和 责任 心 ,坚持 以 我 为 主 ,管理 与 技术 并 重 的 方针 。 这 
样 做 ,不 仅 能 有 效 地 在 信息 安全 保障 体系 中 发 挥 技 术 与 管理 的 互补 性 优势 ,同时 也 是 降低 信 
息 安全 保障 成 本 的 可 行 办 法 。 必 须 坚持 从 本 地 、 本 单位 的 实际 出 发 ,根据 信息 化 发 展 的 不 同 
阶段 和 不 同 的 安全 保护 目标 统筹 规划 ,保障 重点 ,客观 分 析 信 息 安全 与 信息 化 应 用 的 阶段 适 
应 性 ,综合 平衡 安全 风险 和 安全 成 本 ,这 是 信息 安全 保障 中 始终 要 遵循 的 原则 。 


3.2 信息 安全 管理 的 范围 


3.2.1 信息 基础 设施 


1. 全 球 信 息 基 础 设施 

信息 基础 设施 (Information Infrastructure) 是 (有 线 和 无 线 ) 通 信 网 络 、. 计 算 ( 机 ) 设 备 、 
网 络 互 连 设备 ,外围 设备 .数据 存储 设备 动力 保 障 和 环境 设备 的 集合 , 它 可 以 建立 在 国家 或 
地 区 之 间 的 广大 地 域 . 空 域 和 海域 上 。 

从 理论 上 讲 , 全 球 信息 基础 设施 不 被 单个 机 构 所 控制 或 归 其 所 有 , 它 的 所有权” 分 布 于 
IT 公司 ,学术 单位 政府 实体 以 及 个 人 。 因 特 网 (Internet) 就 是 现今 使 用 最 为 广泛 和 主流 的 
全 球 信息 基础 设施 实例 ,也 是 全 球 通信 网 络 平台 ,大 多 数 对 内 对 外 通信 的 网 络 都 是 在 这 个 全 
球 信息 基础 设施 上 建立 起 来 的 虚拟 网 专用 网 .广域网 以 及 定制 的 各 种 网 络 。 

但 实际 上 ,由 于 这 样 的 全 球 性 信息 基础 设施 中 的 顶级 ( 根 ) 服 务 器 、 路 由 器 和 域名 系统 
(DNS) 的 硬件 设备 都 控制 在 美国 及 其 盟友 国 , 大 多 基础 通信 和 操作 规程 (协议 或 标准 、 操 作 
系统 等 ) 的 制定 权 和 修订 权 以 及 IP 地 址 .DNS 等 信息 资源 的 分 配 权 都 掌握 在 由 美国 政府 控制 
的 大 型 IT 企业 或 组 织 手中 ,这 就 决定 了 它们 对 全 球 信息 基础 设施 资源 的 垄断 或 控制 地 位 。 

2. 国家 信息 基础 设施 

国家 信息 基础 设施 (National Information Infrastructure) 是 一 个 国家 用 来 处 理 其 (政府 
的 或 商业 的 ) 业 务 的 信息 基础 设施 ,同样 是 (有 线 和 无 线 ) 通 信和 网 络 、 计 算 ( 机 ) 设 备 、 网 络 互 连 
设备 .外 围 设备 .数据 存储 设备 .动力 保障 和 环境 设备 的 集合 ,也 可 以 建立 在 国家 或 地 区 之 间 
的 广大 地 域 、. 空 域 和 海域 上 。 不 过 ,从 技术 层面 讲 , 国 家 信息 基础 设施 只 是 全 球 信 息 基 础 设 
施 的 一 个 子 集 。 

3. 区 域 信息 基础 设施 

区 域 信息 基础 设施 (Local Information Infrastructure) 是 指 一 个 地 区 ,行业 或 组 织 为 处 
理 其 业务 所 建设 和 使 用 的 信息 基础 设施 。 它 是 国家 信息 基础 设施 的 一 个 子 集 。 

4. 网 络 边 界 

网 络 边界 指 位 于 某 个 国家 、 区 域 和 组 织 的 物理 网 络 设施 与 外 部 物理 网 络 设 施 之 间 的 一 
个 区 域 , 这 个 区 域 往 往 由 一 台 或 一 组 网 络 设备 (交换 机 、 路 由 器 等 ) 组 成 ,这 些 网 络 设备 处 理 
不 同 级 别 的 通信 交换 或 路 由 信息 。 与 因特网 相连 的 局 域 网 或 私有 网 ,其 物理 边界 就 在 互 连 


网 络 设备 处 ,而 逻辑 边界 则 与 不 同 级 别 的 信息 相关 。 
3.2.2 信息 安全 基础 设施 


信息 安全 基础 设施 是 指 可 为 密码 服务 .鉴别 服务 和 访问 控制 服务 等 提供 基础 性 和 共享 
性 支撑 的 设备 和 系统 的 通称 ,具体 指 PKI(Public Key Infrastructure, 公 钥 基 础 设施 )/CA 
(Certification Authority, 证 书 机 构 )、PKI/KMI(Key Management Infrastructure, 密 钥 管理 基 
础 设施 ) 和 PKI/PMI(Privilege Management Infrastructure, 权 限 管理 基础 设施 ) 等 各 类 与 公开 
密 钥 和 身份 标识 (ID) 信 息 有 关 的 设备 和 系统 ,通过 使 用 数字 证 书 ,构建 网 络 信任 体系 ,提供 
支撑 性 的 安全 基础 服务 。 这 些 信息 安全 基础 设施 分 别 ( 在 国家 统一 规划 和 技术 标准 指导 下 
按 行业 .系统 和 业务 类 别 ) 以 树 形 结构 从 顶 ( 根 ) 至 下 分 层 进行 部 署 ,将 全 国 大 一 统 网 络 按 层 
次 分 类 划分 为 众多 的 虚拟 网 络 ,并 按 信息 级 别 和 使 用 权限 对 各 类 信息 资源 进行 安全 有 序 的 
访问 与 操作 使 用 。 

CA(Certification Authority ,证书 机 构 ) 负 责 制 作 、 分 发 撤销、 作废 证 书 等 管理 活动 。 
其 基本 元 素 是 数字 证 书 , 数 字 证 书 上 有 持 有 者 的 身份 标识 、 权 限 属性 、 密 钥 信 息 等 基本 数据 ， 
是 网 络 信任 体系 用 户 的 “身份 证 ”。 

KMI(Key Management Infrastructure, 密 钥 管 理 基 础 设施 ) 为 鉴别 服务 和 加 密 服 务 提 
供 密 钥 管理 ,并 且 提 供 密 钥 恢复 服务 以 及 存 取 用 户 证 书 的 目录 。KMI 不 直接 提供 用 户 所 需 
的 安全 参数 ,而 是 提供 被 其 他 安全 设备 和 技术 所 使 用 的 模块 和 接口 参数 。KMI 的 主要 运行 
过 程 包括 登记 授权 使 用 KMI 的 个 体 ; 接受 个 体 的 密 钥 申请 ; 生成 对 称 或 非 对 称 密 钥 ; 密 钥 
的 安全 分 发 ; 密 钥 的 跟踪 审计 ; 密 钥 泄露 和 丢失 处 理 , 例 如 删除 已 泄露 的 密 钥 。 

由 此 可 知 ,KMI 可 提供 4 个 方面 的 业务 : 

@ 对 称 密 钥 的 产生 和 分 发 ; 

@ 支持 非 对 称 密 钥 以 及 相应 的 证 书 管理 ; 

@ 提供 目录 服务 ; 

@ 对 KMI 自身 的 管理 。 

随 着 电子 政务 系统 和 电子 商务 系统 建设 的 不 断 推进 ,对 密 钥 管理 的 需求 必 将 不 断 增长 
和 强化 ,KMI 技术 将 被 不 断 完善 并 广泛 应 用 。 

PMI(Privilege Management Infrastructure, 权 限 管理 基础 设施 ) 是 信息 安全 基础 设施 
中 的 另 一 个 重要 的 组 成 部 分 。PMI 的 主要 目的 是 向 用 户 和 应 用 程序 提供 权限 管理 服务 , 负 
责 向 应 用 系统 提供 与 应 用 相关 的 权限 管理 ,提供 用 户 身份 到 应 用 权限 的 映射 功能 ,提供 与 实 
际 应 用 处 理 模式 对 应 的 与 具体 应 用 系统 开发 和 管理 无 关 的 授权 和 访问 控制 机 制 ,可 以 简化 
具体 应 用 系统 中 有 关 安 全 机 制 的 开发 和 维护 。 

PMI 作为 信息 安全 基础 设施 之 一 ,为 用 户 指 定 权 限 属性 信息 ,例如 特权 、 能 力 和 角色 
等 ,并 采用 X. 509 协议 所 规定 的 数据 格式 使 用 证 书 。PMI 通过 在 应 用 服务 中 使 用 用 户 权 限 
管理 支持 访问 控制 服务 。 


3.2.3 基础 通信 网 络 


我 国 基础 通信 网 络 担负 着 为 国家 信息 化 提供 互 连 互通 的 网 络 平台 服务 ,以 及 为 与 国际 
联网 提供 高 速 信道 服务 的 重任 。 目 前 比较 有 影响 的 基础 通信 网 络 如 下 : 
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。 中 国 科 学 技术 网 (CSTNET); 
。 中 国教 育 和 科研 计算 机 网 (CERNET); 
。 中 国电 信 公 用 计算 机 互联 (骨干 ) 网 (CHINANET); 
。 中国 联通 互联 网 (UNINET); 
。 中 国 移动 互联 网 (CMNET) ,等 等 。 
国家 对 基础 通信 网 络 的 安全 管理 要 求 是 在 网 络 交 换 的 链 路 层 和 物理 层 为 网 络 的 安全 有 
序 和 健康 运行 提供 公共 平台 服务 。 为 此 ,对 基础 通信 和 网络 的 基本 安全 要 求 是 “具有 防止 和 对 
抗 网 络 病毒 传播 与 大 规模 拒绝 服务 攻击 的 能 力 ”。 


3.2.4 广播 电视 传输 网 


各 级 政府 或 政府 授权 的 机 构 利 用 有 线 、 无 线 和 卫星 系统 构成 的 广播 电视 传输 网 络 担 负 
着 以 语音 、 图 像 和 数据 为 外 在 形式 的 公共 传媒 的 重任 ,为 社会 提供 公共 信息 和 社会 控制 信息 
服务 。 

国家 对 广播 电视 传输 网 的 安全 管理 要 求 是 “对 传输 信道 和 媒体 的 控制 ,以 及 防止 和 对 抗 
系统 外 的 势力 对 传输 信道 和 媒体 的 侵占 、 择 入 、 自 改 和 干扰 ,确保 传输 网 络 正常 运行 ”。 


3.2.5 信息 系统 


1. 国家 重要 信息 系统 

国家 重要 信息 系统 是 指 “ 关 系 国 家 安全 、 国 计 民生 经 济 命脉 ,社会 稳定 等 方面 的 数据 相 
对 集中 的 规模 较 大 的 信息 系统 ,其 中 包括 受 国家 委托 或 需要 受 控 管理 的 军事 工业 企业 和 研 
究 单位 的 信息 系统 "。 这 些 系 统 通常 由 政府 或 其 委托 的 机 构 负责 建立 、 运 行 和 维护 。 

2. 电子 政务 系统 

电子 政务 系统 是 指 “ 各 级 政务 机 关 为 实现 办 公 自 动 化 网络 化 、 信 息 化 而 建立 ,运行 和 维 
护 的 公文 流转 和 业务 信息 系统 ”。 这 些 系统 辅助 政府 实现 : 

@ 增强 为 公众 ` 其 他 部 门 和 其 他 政府 实体 提供 信息 和 服务 的 能 力 ， 

@ 改进 政府 管理 工作 和 提升 政府 形象 ,包括 增强 影响 力 ,提高 效率 和 服务 质量 ,以 及 加 
速 政府 机 构 和 管理 模式 的 改革 进程 。 我 国 的 电子 政务 系统 分 为 各 级 政府 机 关 的 政务 信息 系 
统 和 各 级 党 委 机 关 的 党 务 信息 系统 ,前 者 原则 上 运行 于 电子 政务 外 网 上 ,后 者 完全 运行 于 电 
子 政务 内 网 上 。 

3. 电子 商务 系统 

电子 商务 系统 指 利用 互连网 络 平台 开展 商务 活动 的 金融 、 物 资 流 通 和 各 类 交易 的 信息 
系统 。 

4. 企 事业 信息 系统 

企 事业 信息 系统 指 各 类 企业 和 事业 单位 利用 互连网 络 平台 或 技术 所 建立 起 来 的 集 内 部 
办 公 业 务 和 生产 、 管 理事 务 以 及 与 社会 交互 为 一 体 的 综合 业务 信息 系统 。 

5. 其 他 信息 系统 

其 他 信息 系统 指 利用 互连网 络 平台 为 社会 和 个 人 提供 除 上 述 信息 系统 服务 功能 以 外 的 
信息 化 服务 系统 ,例如 网 吧 ,咨询 服务 和 各 种 社交 网 络 . 即 时 通信 、 公 共 电 子 邮件 系统 等 。 


3.3 安全 管理 在 信息 安全 保障 中 的 地 位 和 作用 


安全 管理 和 安全 技术 是 构造 信息 安全 保障 体系 的 两 大 组 成 部 分 ,两 者 具有 同等 重要 的 
地 位 和 作用 。 安 全 技术 需要 安全 管理 来 规划 设计、 实施 .调整 和 维护 ,安全 技术 的 效能 需要 
安全 管理 予以 激活 和 提升 ; 安全 管理 可 借助 安全 技术 实现 系统 化 .智能 化 和 决策 科学 化 。 
安全 管理 和 安全 技术 互 为 支持 和 补充 。 在 一 定 的 条 件 下 ,两 者 可 以 互相 转化 。 安 全 管理 和 
安全 技术 的 最 佳 融 合 可 以 提高 安全 保障 体系 的 功效 或 绩效 比 ,降低 安全 成 本 。 


3.4 习题 与 思考 题 


1. 积极 防御 的 核心 思想 是 什么 ? 

2. 深刻 理解 安全 管理 与 安全 技术 的 关系 。 

3. 电子 政务 系统 是 怎样 分 类 的 ? 为 什么 电子 政务 系统 要 运行 在 两 个 不 同 的 网 络 上 ? 

4. 就 你 知道 或 熟悉 的 网 络 信息 系统 , 举 两 个 例子 ,将 其 归 类 到 3. 2. 5 节 中 所 述 的 信息 
系统 中 ,并 说 明 为 什么 。 

5. 人 们 常 说 国际 互联 网 (Internet) 是 一 把 * 双 刃 剑 ”, 根 据 你 的 理解 举例 说 明之 。 
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4.1 信息 安全 管理 的 基本 问题 


4.1.1 信息 系统 生命 周期 的 安全 管理 问题 


信息 系统 生命 周期 是 指 信息 系统 从 规划 开始 到 设计 (包括 技术 开发 ) , 实 
施 、 使 用 和 维护 直至 报废 的 整个 过 程 。 在 这 一 过 程 中 系统 随 着 其 生存 环境 的 
变化 不 断 进行 更 新 和 维护 。 

从 安全 管理 角度 看 ,信息 系统 生命 周期 可 分 为 下 面 6 个 阶段 。 

1. 规划 阶段 

在 此 阶段 ,应 根据 国家 有 关 信 息 安全 的 法 律 法 规 对 组 织 的 信息 系统 的 风 
险 进 行 初步 估计 ,并 在 此 基础 上 提出 安全 目标 ,制定 安全 方针 和 策略 ,要 求 在 
信息 系统 的 设计 和 建设 中 从 管理 和 技术 两 个 方面 对 信息 系统 安全 保障 体系 
进行 同步 设计 .同步 实施 。 

2. 设计 和 开发 阶段 

在 此 阶段 ,按照 规划 阶段 提出 的 安全 目标 和 制定 的 安全 方针 和 策略 进行 
基于 安全 风险 评估 的 安全 需求 分 析 , 以 此 为 依据 对 信息 安全 保障 体系 从 管理 
和 安全 技术 的 结合 上 进行 整体 设计 ,并 细 化 为 详细 设计 方案 ,给 出 安全 投入 
预算 。 在 详细 设计 方案 中 必须 给 出 系统 或 组 件 获取 途径 : 若 有 功能 和 性 能 符 
合 设 计 要 求 的 系统 或 组 件 , 在 采购 前 必须 对 其 应 具备 的 资质 进行 符合 规范 的 
审查 , 若 无 符 合 设计 要 求 的 系统 或 组 件 , 则 应 委托 有 技术 开发 能 力 和 资质 的 
企业 进行 定制 开发 ,定制 开发 完成 的 产品 应 提交 具有 资质 的 第 三 方 机 构 进行 
安全 符合 性 测试 方 可 进行 列 装 。 

3. 实施 阶段 

在 此 阶段 ,信息 系统 所 在 组 织 正 式 委托 具有 建设 能 力 和 资质 的 第 三 方 企 
业 进 行 安装 和 调试 ,整个 施工 过 程 应 邀请 具有 资质 的 第 三 方 进 行 监理 ,并 经 
过 第 三 方 的 风险 评估 和 安全 性 测试 后 交付 使 用 。 
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4. 运行 维护 阶段 


信息 系统 进入 运行 维护 阶段 后 ,一 方面 信息 安全 保障 体系 的 维护 应 与 信息 系统 的 维护 
同步 协调 ; 另 一 方面 ,要 定期 根据 风险 的 变化 情况 对 信息 系统 安全 保障 体系 的 功能 和 效能 
进行 评估 ,必要 时 从 管理 和 技术 措施 上 进行 调整 或 更 新 ,以 维持 信息 和 系统 保障 需求 变化 后 
的 安全 保障 能 力 。 

5. 变更 和 反馈 阶段 

信息 系统 投入 运行 后 并 不 是 一 成 不 变 的 , 它 随 着 业务 变动 和 需求 变更 ,外界 环 境 的 变更 
会 产生 新 的 功能 、 性 能 需求 或 增强 已 有 安全 功能 的 需求 ,这 就 需要 对 信息 系统 的 某 些 子 系统 
或 组 件 重新 从 规划 开始 进入 新 一 轮 循环 。 遇 此 情况 ,信息 安全 保障 体系 也 应 从 规划 开始 进 
入 新 一 轮 的 循环 。 

6. 废弃 阶段 

当 信 息 系统 已 完成 历史 使 命 或 被 新 的 系统 蔡 代 后 即 进入 报废 阶段 ,安全 保障 体系 也 随 
即 进入 废弃 阶段 。 在 此 阶段 , 除 对 一 般 的 信息 安全 设备 或 组 件 进行 报废 处 置 外 ,尤其 要 注意 
对 这 些 设备 和 组 件 中 可 能 残留 的 私密 信息 和 数据 进行 彻底 销毁 。 对 其 中 由 国家 专 控 的 ( 软 / 
硬件 形式 的 ) 设 备 和 组 件 予 以 清理 登记 后 ,按照 国家 法 律 法 规 规定 的 处 理 程序 和 办 法 进行 报 
废 处 置 。 


4.1.2 信息 安全 管理 中 的 等 级 保护 问题 


4.1.2.1 信息 系统 安全 保护 目标 

信息 系统 安全 的 保护 目标 与 所 属 组 织 的 安全 保护 目标 是 完全 一 致 的 ,并 具有 从 属 关 系 ， 
具体 表现 为 对 信息 的 保护 和 对 系统 的 保护 。 

对 信息 的 保护 是 使 所 属 组 织 的 供 直 接 使 用 的 (用 于 业务 流程 的 ,或 用 于 交换 服务 或 共享 
目的 ?信息 和 系统 运行 中 (用 于 系统 管理 和 运行 控制 目的 ) 有 关 信息 的 机 密 性 .完整 性 .可 用 
性 和 可 控 性 不 受到 改变 和 破坏 。 也 就 是 说 ,对 信息 的 保护 实际 上 是 对 实用 信息 、 管 理 信息 和 
控制 信息 的 保护 。 

对 系统 的 保护 则 是 使 所 属 组 织 用 于 维持 运行 和 履行 职能 的 信息 技术 系统 的 可 靠 性 .机 
密 性 ,完整 性 和 可 用 性 不 受到 改变 和 破坏 。 系 统 保护 的 功能 有 两 个 ,一 是 为 信息 保护 提供 支 
持 , 二 是 对 信息 技术 系统 本 身 进行 保护 。 

4.1.2.2 信息 系统 等 级 保护 

对 信息 系统 进行 分 等 级 的 保护 是 体现 统筹 规划 、 积 极 防 范 、 突 出 重点 的 信息 安全 保护 原 
则 的 重大 管理 策略 。 大 量 实践 证 明 ,最 有 效 和 科学 的 信息 系统 安全 保护 方法 是 在 维护 安全 、 
健康 、 有 序 的 网 络 运行 环境 的 同时 ,以 分 级 的 方式 确保 各 类 信息 和 信息 系统 的 适度 安全 ,这 
样 做 既 符 合 政策 规范 ,又 满足 实际 需求 。 划 分 信息 系统 安全 保护 等 级 的 基本 思想 和 方法 如 
下 所 述 。 

1. 涉 密 信息 系统 保护 等 级 的 划分 原则 

1) 系统 内 信息 的 涉 密 程 度 与 信息 系统 的 保护 等 级 确定 的 关系 

信息 系统 的 保护 等 级 由 系统 内 涉 密 程 度 最 高 的 信息 保护 等 级 需求 确定 。 信 息 系统 及 其 
信息 的 涉 密 程度 越 高 ,保护 等 级 越 高 。 
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2) 组 织 级 别 与 保护 等 级 的 关系 

组 织 的 行政 级 别 越 高 ,保护 等 级 越 高 。 

3) 涉 密 信息 量 与 保护 等 级 的 关系 

相对 集中 的 涉 密 信息 量 越 大 ,保护 等 级 越 高 。 

4) 履行 职能 的 重要 性 与 保护 等 级 的 关系 

职能 与 国家 安全 、 国 计 民生 、 社 会 稳定 的 关系 越 大 ,保护 等 级 越 高 。 

5) 业务 对 信息 系统 的 依赖 性 与 保护 等 级 的 关系 

组 织 业务 对 信息 系统 的 依赖 性 越 高 ,保护 等 级 越 高 。 

在 遵循 以 上 原则 进行 分 等 级 保护 时 ,要 对 信息 系统 中 个 别 信息 和 组 件 的 保护 等 级 与 整 
个 系统 的 保护 等 级 以 安全 域 划分 的 方法 加 以 适当 区 分 ,不 因 对 个 别 信息 和 组 件 的 高 等 级 保 
护 要 求 而 提高 整个 系统 其 他 信息 和 组 件 的 保护 等 级 。 

2. 非 涉 密 信息 系统 保护 等 级 的 划分 原则 

1) 信息 系统 所 属 组 织 的 社会 影响 与 保护 等 级 确定 的 关系 

信息 系统 的 保护 等 级 由 系统 所 属 组 织 的 社会 影响 力 或 影响 面 确定 ,社会 影响 越 大 或 社 
会 影响 面 越 广 ,其 保护 等 级 越 高 。 

2) 信息 系统 受 损 后 对 社会 的 危害 程度 与 保护 等 级 的 关系 

信息 系统 受 损 后 造成 的 社会 危害 性 越 大 ,保护 等 级 越 高 。 

3) 信息 系统 资源 价值 与 保护 等 级 的 关系 

信息 系统 内 的 资源 价值 越 大 ,保护 等 级 越 高 。 

4) 信息 系统 资源 利用 效率 与 保护 等 级 的 关系 

信息 系统 内 资源 的 利用 效率 越 高 ,保护 等 级 越 高 。 

5) 信息 系统 资源 密集 度 与 保护 等 级 的 关系 

信息 系统 内 资源 的 集中 度 越 高 ,保护 等 级 越 高 。 

4.1.2.3 信息 系统 保护 等 级 的 技术 标准 

确定 涉 密 信息 系统 和 非 涉 密 信息 系统 保护 等 级 的 指导 原则 及 其 安全 性 评估 的 技术 准则 
在 GB17859 一 1999(《 计 算 机 信息 系统 安全 保护 等 级 划分 准则 》) 和 GB/T 18336 一 2001(《 信 
息 技术 安全 技术 信息 技术 安全 性 评估 准则 ) 的 基本 技术 框架 内 予以 规定 。 对 于 一 个 组 织 
的 信息 系统 ,可 以 按 物理 和 逻辑 方法 划分 为 两 个 或 两 个 以 上 保护 等 级 子 系统 。 

1. 计算 机 信息 系统 的 安全 保护 等 级 

国家 标准 GB 17859 一 1999(《 计 算 机 信息 系统 安全 保护 等 级 划分 准则 尹 规 定 了 我 国 计 
算 机 信息 系统 安全 保护 等 级 确定 中 应 该 遵循 的 基本 原则 ,这 是 进行 计算 机 信息 系统 安全 等 
级 保护 制度 建设 的 基础 性 依据 ,也 是 进行 信息 安全 评估 和 管理 的 重要 基础 。 这 个 标准 虽然 
并 不 具备 技术 上 的 可 操作 性 ,但 其 基本 准则 却 是 我 国 各 类 信息 系统 划分 保护 等 级 和 确定 等 
级 保护 措施 的 指导 原则 和 策略 根据 。 

此 标准 将 计算 机 信息 系统 安全 保护 从 低 到 高 划分 为 5 个 等 级 ,分 别 为 用 户 自 主 保护 级 、 
系统 审计 保护 级 ,安全 标记 保护 级 ,结构 化 保护 级 和 访问 验证 保护 级 ,高 级 别 安 全 要 求 是 低 
级 别 安全 要 求 的 超 集 。 计 算 机 信息 系统 安全 保护 能 力 随 着 安全 保护 等 级 的 增高 逐渐 增强 。 

在 该 标准 中 ,一 个 重要 的 概念 是 可 信 计 算 基 (CTCB)。TCB 是 一 种 实现 安全 策略 的 机 
制 ,包括 硬件 .固件 和 软件 。 它 们 根据 安全 策略 来 处 理 信息 系 统 主体 (系统 管理 员 安全 管理 
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员 、 用 户 、 进 程 等 ) 对 信息 系统 客体 (进程 .文件 .记录 设备 等 ) 的 访问 ,TCB 还 具有 抗 算 改 的 
能 力 和 易于 分 析 与 测试 的 结构 。TCB 主要 体现 该 标准 中 的 隔离 和 访问 控制 两 大 基本 特征 。 
各 安全 等 级 之 间 的 差异 在 于 TCB 的 构造 不 同 以 及 所 具有 的 安全 保护 能 力 不 同 。 

第 一 级 ”用户 自主 保护 级 

本 级 的 计算 机 信息 系统 可 信 计 算 基 通过 隔离 用 户 与 数据 使 用 户 具备 自主 安全 保护 的 能 
力 。 它 具有 多 种 形式 的 控制 能 力 , 对 用 户 实 施 访问 控制 , 即 为 用 户 提 供 可 行 的 手段 保护 用 户 
和 用 户 组 信息 ,避免 其 他 用 户 对 数据 的 非法 读 / 写 与 破坏 。 

本 级 实施 的 是 自主 访问 控制 , 即 通 过 可 信 计 算 基 定义 系统 中 的 用 户 和 (命名 用 户 对 命名 
客体 的 ) 访 问 ,并 允许 用 户 以 自己 的 身份 或 用 户 组 的 身份 指定 并 控制 对 客体 的 访问 。 这 意味 
着 系统 用 户 或 用 户 组 可 以 通过 可 信 计 算 基 自 主 地 定义 主体 对 客体 的 访问 权限 。 

从 用 户 的 角度 来 看 ,用 户 自主 保护 级 的 责任 只 有 一 个 , 即 为 用 户 提 供 身 份 鉴别 。 在 系统 
初始 化 时 ,可 信 计 算 基 首先 要 求 用 户 标识 自己 的 身份 (如 银行 卡 等 ) ,然后 使 用 身份 鉴别 数据 
(如 口令 字符 ) 来 鉴别 用 户 的 身份 ,并 实施 对 客体 的 自主 访问 控制 ,避免 “非法 ”用 户 对 数据 的 
读 / 写 或 破坏 。 

在 数据 完整 性 方面 ,可 信 计 算 基 通过 自主 完整 性 策略 阻止 非 授 权 用 户 修改 或 破坏 敏 
感 信息 。 

第 二 级 ”系统 审计 保护 级 

与 用 户 自主 保护 级 相 比 ,本 级 的 计算 机 信息 系统 可 信 计 算 基 实 施 粒 度 更 细 的 自主 访问 
控制 。 它 通过 登录 规程 审计 安全 性 相关 事件 和 隔离 资源 等 措施 使 用 户 对 自己 的 行为 负责 。 

本 级 实施 的 是 自主 访问 控制 和 客体 的 安全 重用 。 在 自主 访问 控制 方面 ,可 信 计 算 基 实 
施 的 自主 访问 控制 粒度 是 单个 用 户 ,并 控制 访问 权限 的 扩散 , 即 没有 访问 权 的 用 户 只 允许 由 
授权 用 户 指 定 其 对 客体 的 访问 权 。 在 客体 的 安全 重用 方面 ,在 客体 被 初始 指定 或 分 配给 一 
个 主体 之 前 ,或 在 客体 再 分 配 之 前 ,必须 撤销 该 客体 所 含 信息 的 授权 ; 当 一 个 主体 获得 一 个 
客体 的 访问 权时 , 原 主体 的 活动 所 产生 的 任何 信息 对 当前 主体 而 言 是 不 可 获得 的 。 

从 用 户 的 角度 来 看 ,系统 审计 保护 级 的 功能 有 两 个 , 即 身份 鉴别 和 安全 审计 。 在 身份 鉴 
别 方面 比 用 户 自主 保护 级 增加 两 点 : 

。 为 用 户 提 供 唯 一 标识 ,确保 用 户 对 自己 的 行为 负责 ; 

。 为 支持 安全 审计 功能 ,具有 将 身份 标识 与 用 户 所 有 可 审计 的 行为 相关 联 的 能 力 。 

在 安全 审计 方面 ,可 信 计 算 基 能 够 创建 ,维护 对 其 所 保护 客体 的 访问 审计 记录 ,还 为 授 
权 主 体 提供 审计 记录 接口 ,以便 记 录 那 些 主体 认为 需要 审计 的 事件 ,并 且 只 有 授权 用 户 才 能 
访问 审计 记录 。 另 外 ,本 级 还 支持 系统 安全 管理 员 根 据 主 体 身份 有 选择 地 审计 任何 一 个 用 
户 的 行为 。 

在 数据 完整 性 方面 ,可 信 计 算 基 应 提供 并 发 控制 机 制 ,以 确保 多 个 主体 对 同一 客体 的 正 
确 访 问 。 

第 三 级 ”安全 标记 保护 级 

本 级 的 计算 机 信息 系统 可 信 计 算 基 具有 系统 审计 保护 级 的 所 有 功能 。 此 外 ,还 提供 有 
关 安 全 策略 模型 .数据 标记 以 及 主体 对 客体 强制 访问 控制 的 非 形式 化 描述 ; 具有 准确 地 标 
记 输 出 信息 的 能 力 ; 消除 通过 测试 发 现 的 任何 错误 。 

本 级 的 主要 特征 是 可 信 计 算 基 实施 强制 访问 控制 。 强 制 访问 控制 就 是 可 信 计 算 基 以 敏 
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感 标记 为 主体 和 客体 指定 安全 等 级 。 安 全 等 级 是 一 个 二 维 组 ,第 一 维 是 分 类 等 级 (如 秘密 、 
机 密 、 绝 密 等 ) ,第 二 维 是 范畴 (如 适用 范围 等 )。 由 可 信 计 算 基 控制 的 主体 和 客体 仅 当 满足 
一 定 条 件 时 主体 才能 读 / 写 一 个 客体 , 即 仅 当 主体 分 类 等 级 的 级 别 高 于 客体 分 类 等 级 的 级 
别 , 主 体 范畴 包含 客体 范畴 时 ,主体 才能 读 一 个 客体 ; 仅 当 主体 分 类 等 级 的 级 别 低 于 或 等 于 
客体 分 类 等 级 的 级 别 , 主 体 范畴 包含 于 客体 范畴 时 ,主体 才能 写 一 个 客体 。 

敏感 标记 是 实施 强制 访问 控制 的 基础 ,因此 系统 应 明确 规定 需要 标记 的 客体 (如 文件 、 
记录 、 目 录 、 日 志 等 ) ,应 明确 定义 标记 的 粒度 (如 文件 级 .字段 级 等 ) ,并 必须 使 其 主要 数据 结 
构 具 有 敏感 标记 。 另 外 ,可 信 计 算 基 应 维护 与 每 个 主体 及 其 控制 下 的 存储 对 象 相关 的 敏感 
标记 ,敏感 标记 应 准确 地 表示 相关 主体 或 客体 的 安全 级 别 。 

从 用 户 的 角度 来 看 ,系统 仍 呈 现 身 份 鉴别 和 审计 两 大 功能 。 可 信 计 算 基 除了 具有 第 二 
级 的 功能 外 ,还 具有 以 下 能 力 : 

。 确定 用 户 的 访问 权 和 授权 访问 的 数据 ; 

。 接收 数据 的 安全 级 别 ,维护 与 每 个 主体 及 其 控制 下 的 存储 对 象 相关 的 敏感 标记 ; 

。 维护 标记 的 完整 性 ; 

。 维护 并 审计 标记 信息 的 输出 ,并 与 相关 联 的 信息 进行 匹配 ; 

。 确保 以 该 用 户 的 名 义 创建 的 那些 在 可 信 计 算 基 外 部 的 主体 和 授权 受 其 访问 权 和 授 

权 的 控制 。 

在 数据 完整 性 方面 ,可 信 计 算 基 还 应 提供 定义 、 验 证 完整 性 约束 条 件 的 功能 ,以 维护 客 
体 和 敏感 标记 的 完整 性 。 

第 四 级 ”结构 化 保护 级 

本 级 的 计算 机 信息 系统 可 信 计 算 基 建立 于 一 个 明确 定义 的 形式 化 安全 策略 模型 之 上 ， 
它 要 求 将 第 三 级 系统 中 的 自主 访问 控制 和 强制 访问 控制 扩展 到 所 有 主体 与 客体 。 此 外 ,还 
要 考虑 隐蔽 通道 。 本 级 的 计算 机 信息 系统 可 信 计 算 基 必须 结构 化 为 关键 保护 元 素 和 非 关 键 
保护 元 素 。 计 算 机 信息 系统 可 信 计 算 基 的 接口 也 必须 明确 定义 ,使 其 设计 与 实现 能 经 受 更 
充分 的 测试 和 更 完整 的 审核 。 本 级 还 增强 了 鉴别 机 制 ,支持 系 统管 理 员 和 操作 员 的 可 确认 
性 ; 提供 可 信 设 施 管理 ,增强 了 配置 管理 控制 ,确保 系统 具有 相当 的 抗 渗透 能 力 。 

本 级 的 主要 特征 如 下 : 
可 信 计 算 基 基于 一 个 明确 定义 的 形式 化 安全 保护 策略 。 
将 第 三 级 实施 的 (自主 和 强制 ) 访 问 控制 扩展 到 所 有 主体 和 客体 。 在 自主 访问 控制 
方面 ,可 信 计 算 基 应 维护 由 可 信 计 算 基 外 部 主体 直接 或 间接 访问 的 所 有 资源 的 敏感 
标记 ; 在 强制 访问 控制 方面 ,可 信 计 算 基 应 对 所 有 可 被 其 外 部 主体 直接 或 间接 访问 
的 资源 实施 强制 访问 控制 ,应 为 这 些 主体 和 客体 指定 敏感 标记 。 
针对 隐蔽 信道 ,将 可 信 计 算 基 构造 为 关键 保护 元 素 和 非 关键 保护 元 素 。 
可 信 计 算 基 具有 合理 定义 的 接口 ,使 其 能 够 经 受 严格 的 测试 和 复查 。 
通过 提供 可 信 路 径 来 增强 鉴别 机 制 。 
支持 系统 管理 员 和 操作 员 的 可 确认 性 ,提供 可 信 实 施 管理 ,增强 严格 的 配置 管理 
控制 。 

在 审计 方面 , 当 发 生 安全 事件 时 ,可 信 计 算 基 还 能 够 检测 事件 的 发 生 、 记 录 审 计 项 .通知 
系统 管理 员 ,标识 并 审计 可 能 利用 隐蔽 信道 的 事件 。 
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在 隐蔽 信道 分 析 方 面 , 系 统 开发 者 应 彻底 搜索 隐藏 信道 ,并 确定 信道 的 最 大 带宽 ,这 样 
才能 确定 有 关 正 常 使 用 隐蔽 信道 的 非 安全 事件 。 
第 五 级 访问 验证 保护 级 
本 级 的 计算 机 信息 系统 可 信 计 算 基 满 足 访问 监控 器 (Reference Monitor) 需 求 。 访 问 监 
控 器 判断 主体 对 客体 的 全 部 访问 。 访 问 监控 器 本 身 具备 抗 自 改 性 , 且 必 须 足 够 小 ,能 够 分 析 
和 测试 。 为 了 满足 访问 监控 器 需求 ,计算 机 信息 系统 可 信 计 算 基 在 构造 时 ,排除 那些 对 实施 
安全 策略 来 说 并 非 必要 的 代码 ; 在 设计 和 实现 时 ,从 系统 工程 角度 将 其 复杂 性 降低 到 最 小 。 
它 支持 安全 管理 员 可 确认 性 ; 扩充 审计 机 制 , 当 发 生 与 安全 相关 的 事件 时 发 出 信号 ; 提供 
系统 恢复 机 制 , 系 统 具 有 很 高 的 抗 渗透 能 力 。 
本 级 与 第 四 级 相 比 ,主要 区 别 在 以 下 4 个 方面 ; 
。 在 可 信 计 算 基 的 构造 方面 具有 访问 监控 器 。 所 谓 访问 监控 器 ,是 监控 主体 和 客体 之 
间 授 权 访 问 关系 的 部 件 , 仲裁 主体 对 客体 的 全 部 访问 。 访 问 监控 器 必须 是 抗 自 改 
的 ,并 且 是 可 被 分 析 和 测试 的 。 
在 自主 访问 控制 方面 ,因为 有 访问 监控 器 ,所 以 访问 控制 能 够 为 每 个 客体 指定 用 户 
和 用 户 组 ,并 规定 它们 对 客体 的 访问 模式 。 
。 在 审计 方面 ,在 访问 监控 器 的 支持 下 ,可 信 计 算 基 扩展 了 审计 能 力 。 本 级 的 审计 机 
制 能 监控 可 审计 安全 事件 的 发 生 和 积累 。 当 积累 超过 规定 的 门限 值 时 ,能 够 立即 向 
系统 管理 员 发 出 报警 ,并且 , 如 果 这 些 与 安全 相关 的 事件 继续 发 生 , 能 以 最 小 的 代价 
终止 它们 。 
。 在 系统 的 可 信 恢 复方 面 ,可 信 计 算 基 提 供 了 一 组 过 程 和 相应 的 机 制 ,保证 系统 失效 
或 中 断后 可 以 进行 不 损害 任何 安全 保护 性 能 的 恢复 。 
2. 基于 通用 准则 的 安全 评估 保证 等 级 
信息 技术 安全 性 评估 准则 (GB/T 18336: 2000, 等 同 于 ISO/IEC 15408: 1999, 又 称 通 
用 准则 (Common Criteria, CC)) 中 定义 了 7 个 递增 的 安全 评估 保证 级 (Evaluation 
Assurance Level,EAL) ,这 种 递增 靠 替 换 成 同一 保证 子 类 中 的 一 个 更 高 级 别 的 保证 组 件 
( 即 增加 严格 性 范围 或 深度 ) 和 添加 另外 一 个 保证 子 类 的 保证 组 件 ( 例 如 ,添加 新 的 要 求 ) 来 
评估 保证 级 是 由 GB 18336 第 3 部 分 中 的 保证 组 件 构成 的 包 , 该 包 代 表 了 CC 通用 准则 
预先 定义 的 保证 尺度 上 的 某 个 保证 要 求 集 。 一 个 保证 级 是 评估 保证 要 求 的 一 个 基线 集合 。 
每 一 个 评估 保证 级 定义 一 套 一 致 的 保证 要 求 , 合 起 来 ,评估 保证 级 构成 一 个 预定 义 CC 保证 
级 尺度 。 
评估 保证 级 并 不 用 于 直接 对 信息 和 系统 的 等 级 保护 ,而 是 用 于 对 信息 和 系统 的 保护 有 
效 性 进行 评估 和 验收 ,包括 对 保护 措施 (或 保证 组 件 ) 的 功能 和 效能 进行 等 级 评估 、 测 试 和 
验证 。 
评估 保证 级 1(EAL1) 一 一 功能 测试 
EAL1 适用 于 对 正确 运行 需要 一 定 信任 的 场合 ,在 该 场合 中 安全 威胁 并 不 严重 。 它 还 
适用 于 需要 独立 的 保证 来 支持 在 人 员 或 类 似 信 息 的 保护 方面 已 经 给 予 足够 重视 的 情况 。 
EAL1l 为 用 户 提供 了 TOE(Target of Evaluation ,评估 对 象 ) 的 一 个 评估 ,包括 依据 一 个 
规范 的 独立 性 测试 和 对 所 提供 的 指导 性 文档 的 检查 。 在 没有 TOE 开发 者 的 帮助 下 ,一 个 
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EAL1 评估 也 能 成 功 地 进行 ,而 且 所 需 的 费用 最 少 。 

该 级 别 的 评估 应 当 确认 TOE 的 功能 与 其 文档 在 形式 上 是 一 致 的 ,并 且 对 已 标识 的 威 
胁 提 供 了 有 效 的 保护 。 

EAL1 通过 功能 和 接口 的 规范 以 及 指导 性 文档 对 安全 功能 进行 分 析 , 以 提供 一 种 基础 
级 别 的 保证 。 

EAL1 通过 对 TOE 安全 功能 的 独立 性 测试 来 分 析 安 全 功能 。 

和 未 经 评估 的 IT 产品 或 系统 相 比 ,本 EAL 提供 了 保证 的 增强 。 

评估 保证 级 2(EAL2) 一 一 结构 测试 

在 交付 设计 信息 和 测试 结果 时 ,EAL2 需要 开发 者 的 适度 合作 , 且 不 需要 增加 过 多 的 费 
用 或 时 间 的 投入 。 

EAL2 适用 于 以 下 情况 : 在 缺乏 现成 可 用 的 完整 的 开发 记录 时 ,开发 者 或 使 用 者 需要 
一 种 低 到 中 等 级 别 的 独立 保证 的 安全 性 。 在 传统 的 保密 系统 或 者 同 开发 者 的 访问 受到 限制 
对 会 出 现 这 种 情况 。 

EAL2 通过 功能 和 接口 的 规范 .指导 性 文档 和 TOE 的 高 层 设 计 对 安全 功能 进行 分 析 以 
提供 保证 。 

这 种 分 析 由 以 下 诸 因素 提供 支持 : TOE 安全 功能 的 独立 性 测试 ,开发 者 基于 功能 规范 
进行 测试 得 到 的 证 据 , 对 开发 者 测试 结果 的 选择 性 独立 确认 ,功能 强度 分 析 , 开 发 者 搜索 明 
显 的 脆弱 性 (如 公开 的 脆弱 性 ) 的 证 据 。 

EAL2 也 通过 TOE 的 配置 表 和 安全 交付 程序 的 证 据 来 提供 保证 。 

EAL2 在 EAL1 的 基础 上 增加 了 保证 。 这 是 通过 要 求 开 发 者 测试 以 及 在 EAL1 基础 上 
增加 脆弱 性 分 析 和 基于 更 详细 的 TOE 规范 的 独立 性 测试 来 实现 的 。 

评估 保证 级 3(EAL3) 一 一 系统 的 测试 和 检查 

EAL3 可 使 一 个 尽职 尽责 的 开发 者 在 设计 阶段 从 正确 的 安全 工程 中 获得 最 大 限度 的 保 
证 ,而 不 需要 对 现 有 的 合理 的 开发 实践 做 大 规模 的 改变 。 

EAL3 适用 于 以 下 情况 : 开发 者 或 使 用 者 需要 一 个 中 等 级 别 的 独立 保证 的 安全 性 ,在 
没有 再 次 进行 真正 的 工程 实践 的 情况 下 要 求 对 TOE 及 其 开发 过 程 进 行 彻 底 调查 。 

EAL3 通过 功能 和 接口 的 规范 .指导 性 文档 和 TOE 的 高 层 设 计 保 证 安全 功能 。 

这 种 分 析 由 以 下 诸 因素 提供 支持 : TOE 安全 功能 的 独立 性 测试 ,开发 者 基于 功能 规范 
和 高 层 设计 进行 测试 得 到 的 证 据 , 对 开发 者 测试 结果 的 选择 性 独立 确认 ,功能 强度 分 析 , 开 
发 者 搜索 明显 的 脆弱 性 (如 公开 的 脆弱 性 ) 的 证 据 。 

EAL3 还 通过 使 用 开发 环境 控制 措施 、TOE 的 配置 管理 和 安全 交付 程序 的 证 据 来 提供 
保证 。 

EAL3 在 EAL2 的 基础 上 增加 了 保证 ,这 是 通过 要 求 更 完备 的 安全 功能 测试 范围 以 及 
要 求 提供 一 些 TOE 在 开发 过 程 中 不 会 被 算 改 的 可 信 性 的 机 制 或 程序 来 实现 的 。 

评估 保证 级 4(EAL4) 一 一 系统 的 设计 测试 和 复查 

EAL4 可 使 开发 者 从 正确 的 安全 工程 开发 实践 中 获得 最 大 限度 的 保证 。 这 种 实践 虽然 
很 严格 ,但 并 不 需要 大 量 的 专业 知识 ,技巧 和 其 他 资源 。 在 经 济 合理 的 条 件 下 ,对 一 个 已 经 
存在 的 生产 线 进行 翻新 时 .EAL4 是 所 能 达到 的 最 高 级 别 。 

EAL4 适用 于 以 下 两 种 情况 : 开发 者 或 使 用 者 对 传统 的 商品 化 的 TOE 需要 一 个 中 等 
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到 高 等 级 别 的 独立 保证 的 安全 性 和 准备 负担 额外 的 安全 工程 专门 费用 。 

EAL4 通过 功能 规范 和 完备 的 接口 规范 ,指导 性 文档 、TOE 的 高 层 设 计 和 低层 设计 、 实 
现 的 子 集 保证 安全 功能 ,也 可 通过 TOE 安全 策略 的 一 个 非 形式 化 模型 来 获得 额外 的 保证 。 

这 种 分 析 由 以 下 诸 因 素 提 供 支持 : TOE 安全 功能 的 独立 性 测试 ,开发 者 基于 功能 规范 
和 高 层 设计 进行 测试 得 到 的 证 据 , 对 开发 者 测试 结果 的 选择 性 独立 确认 ,功能 强度 分 析 , 开 
发 者 搜索 脆弱 性 的 证 据 , 以 及 对 抵御 低级 的 穿 透 性 攻击 的 能 力 进行 论证 的 独立 脆弱 性 分 析 。 

EAL4 还 通过 使 用 开发 环境 控制 措施 .包括 自动 化 在 内 的 额外 的 TOE 配置 管理 以 及 安 
全 交付 程序 的 证 据 来 提供 保证 。 

EAL4 在 EAL3 的 基础 上 通过 要 求 更 多 的 设计 描述 、 实 现 的 子 集 以 及 提供 TOE 在 开发 
或 交付 过 程 中 不 会 被 算 改 的 可 信 性 的 改进 机 制 或 程序 来 增加 保证 。 

评估 保证 级 5(EAL5) 一 一 半 形 式 化 的 设计 和 测试 

EAL5 可 使 一 个 开发 者 从 严格 的 安全 工程 开发 实践 中 获得 最 大 限度 的 保证 ,这 是 靠 应 
用 专业 安全 工程 技术 来 支持 的 。 设 计 和 开发 这 样 的 TOE 需要 有 达到 EAL5 保证 的 决心 。 
相对 于 没有 应 用 专业 技术 的 严格 开发 而 言 , 由 EAL5 要 求 引 起 的 额外 开销 也 许 不 会 很 大 。 

EAL5 适用 于 以 下 情况 : 开发 者 和 使 用 者 在 有 计划 的 开发 中 需要 一 个 高 级 别 的 独立 的 安 
全 性 保证 ,和 在 专业 安全 工程 技术 不 会 引起 不 合理 开销 的 条 件 下 需要 一 种 严格 的 开发 手段 。 

EAL5 通过 功能 规范 和 完备 的 接口 规范 、 指 导 性 文档 、TOE 的 高 层 和 低层 设计 以 及 所 
有 的 实现 提供 安全 功能 保证 ,也 可 以 通过 以 下 方式 额外 地 获得 保证 : TOE 安全 策略 的 形式 
化 模型 ,功能 规范 和 高 层 设计 的 半 形式 化 表示 ,以 及 它们 之 间 对 应 性 的 半 形 式 化 论证 ,此 外 
还 需要 一 个 模块 化 的 TOE 设计 。 

该 级 的 保证 来 源 于 TOE 安全 功能 的 独立 性 测试 ,开发 者 基于 功能 规范 、 高 层 设 计 和 低 
层 设计 进行 测试 得 到 的 证 据 , 对 开发 者 测试 结果 的 选择 性 独立 确认 ,功能 强度 分 析 , 开 发 者 
搜索 脆弱 性 的 证 据 , 以 及 对 抵御 中 等 攻击 潜力 的 穿 透 性 攻击 者 的 能 力 进 行 论证 的 独立 脆弱 
性 分 析 。 这 种 分 析 也 包括 对 开发 者 的 隐蔽 信道 分 析 的 确认 。 

EAL5 还 通过 使 用 开发 环境 控制 措施 .包括 自动 化 在 内 的 全 面 的 TOE 配置 管理 以 及 安 
全 交付 程序 的 证 据 来 提供 保证 。 

EAL5 在 EAL4 的 基础 上 增加 了 保证 ,这 是 通过 要 求 半 形 式 化 的 设计 描述 、 整 个 实现 、 
更 结构 化 (因而 更 具有 可 分 析 性 ) 的 体系 、 隐 项 信道 分 析 , 以 及 提供 TOE 在 开发 过 程 中 不 会 
被 算 改 的 可 信和 性 的 改进 机 制 或 程序 来 实现 的 。 

评估 保证 级 6(EAL6) 一 一 半 形 式 化 验证 的 设计 和 测试 

EAL6 可 使 开发 者 通过 把 安全 工程 技术 应 用 于 严格 的 开发 环境 获得 高 度 的 保证 ,以 便 
生产 一 个 昂贵 的 TOE 来 对 抗 重大 的 风险 ,保护 高 价值 的 资产 。 

EAL6 适用 于 以 下 情况 : 应 用 于 高 风险 环境 下 的 安全 TOE 的 开发 ,在 这 里 受 保护 的 资 
源 值得 花费 额外 的 开销 。 

EAL6 通过 利用 功能 规范 和 完备 的 接口 规范 、 指 导 性 文档 、TOE 的 高 层 和 低层 设计 以 
及 实现 的 结构 化 表示 对 安全 功能 进行 分 析 来 提供 保证 ,以 理解 安全 行为 。 还 通过 以 下 方式 
获得 额外 的 保证 : TOE 安全 策略 的 形式 化 模型 ,功能 规范 、 高 层 设计 和 低层 设计 的 半 形 式 
化 表示 ,以 及 它们 之 间 对 应 性 的 半 形 式 化 论证 ,此 外 还 需要 模块 化 和 分 层 的 TOE 设计 。 

该 级 保证 来 源 于 TOE 安全 功能 的 独立 性 测试 ,开发 者 基于 功能 规范 ,高层 设计 和 低层 


20 
pe 


设计 进行 测试 得 到 的 证 据 , 对 开发 者 测试 结果 的 选择 性 独立 确认 ,功能 强度 分 析 , 开 发 者 搜 
索 脆弱 性 的 证 据 , 以 及 对 抵御 高 等 攻击 潜力 的 穿 透 性 攻击 者 的 能 力 进行 论证 的 独立 脆弱 性 
分 析 , 还 包括 对 开发 者 的 系统 化 隐蔽 信道 分 析 。 

EAL6 也 通过 使 用 结构 化 的 开发 流程 、 开 发 环境 控制 措施 、 包 括 完 全 自动 化 在 内 的 全 面 
的 TOE 配置 管理 以 及 安全 交付 程序 的 证 据 等 来 提供 保证 。 

EAL6 在 EAL5 的 基础 上 增加 了 保证 ,这 是 通过 更 全 面 的 分 析 实 现 的 结构 化 表示 、 更 体 
系 化 的 结构 (如 分 层 ) 、 更 全 面 的 独立 脆弱 性 分 析 、 系 统 化 隐蔽 信道 识别 ,以 及 改进 了 的 配置 
管理 和 开发 环境 控制 等 实现 的 。 

评估 保证 级 7(EAL7) 一 一 形式 化 验证 的 设计 和 测试 

EAL7 适用 于 安全 TOE 的 开发 ,该 TOE 将 应 用 在 风险 非常 高 的 地 方 或 有 高 价值 资产 、 
值得 更 高 开销 的 地 方 。EAL7 的 实际 应 用 目前 只 局 限于 一 些 TOE, 这 些 TOE 非常 关注 能 
经 受 广泛 的 形式 化 分 析 的 安全 功能 。 

EAL7 通过 利用 功能 规范 和 完备 的 接口 规范 .指导 性 文档 .TOE 的 高 层 和 低层 设计 以 
及 实现 的 结构 化 表示 对 安全 功能 进行 分 析 来 提供 保证 ,以 理解 安全 行为 ,也 可 通过 以 下 方式 
获得 额外 保证 : TOE 安全 策略 的 形式 化 模型 ,功能 规范 和 高 层 设 计 的 形式 化 表示 ,低层 设 
计 的 半 形 式 化 表示 ,以 及 它们 之 间 对 应 性 的 适当 的 形式 化 和 半 形 式 化 论证 ,此 外 还 需要 一 个 
模块 化 的 、 分 层 的 且 简 单 的 TOE 设计 。 

该 级 保证 来 源 于 TOE 安全 功能 的 独立 性 测试 ,开发 者 基于 功能 规范 .高层 设计 、 低 层 
设计 和 实现 表示 进行 测试 得 到 的 证 据 , 对 开发 者 测试 结果 的 全 部 独立 确认 ,功能 强度 分 析 ， 
开发 者 搜索 脆弱 性 的 证 据 , 以 及 对 抵御 高 等 攻击 潜力 的 穿 透 性 攻击 者 的 能 力 进 行 论证 的 独 
立 脆弱 性 分 析 ,还 包括 对 开发 者 的 系统 化 隐蔽 信道 分 析 。 

EAL7 也 通过 使 用 结构 化 的 开发 流程 .开发 环境 控制 措施 、 包 括 完 全 自动 化 在 内 的 全 面 
的 TOE 配置 管理 以 及 安全 交付 程序 的 证 据 等 来 提供 保证 。 

EAL7 在 EAL6 的 基础 上 增加 了 保证 ,这 是 通过 要 求 利 用 形式 化 表示 和 对 应 性 的 形式 
化 进行 更 全 面 的 分 析 , 以 及 更 全 面 的 测试 来 实现 的 。 

3. 几 种 安全 等 级 标准 的 对 应 关系 

表 4. 1 给 出 了 几 种 安全 等 级 标准 的 对 应 关系 。 


表 4.1 几 种 安全 等 级 标准 的 对 应 关系 


CC GB/T 17859 TCSEC FC CTCPEC ITSEC 
EAL1 一 一 一 一 一 
EAL2 第 1 级 Cl 一 一 El 
EAL3 第 2 级 CS T-1 T1 E2 
EAL4 第 3 级 Bl 下 和 T2 E3 

一 一 T-3 T-3 一 

= 于 至 工 4 过 一 
EAL5 第 4 级 B2 T-5 T-4 E4 
EAL6 第 5 级 B3 T-6 T-5 E5 
EAL7 一 Al T-7 T-6 E6 


21 
第 4 章 Ce 
表 4.1 中 ,CC 一 一 Common Criteria: 通用 准则 。 


TCSEC 一 一 Trusted Computer System Evaluation Criteria: 可 信 计 算 机 系统 评估 准 
则 ,由 美国 于 1985 年 提出 ,在 2000 年 12 月 停止 使 用 。 

FC 一 一 Federal Criteria: 美国 联邦 准则 。 

CTCPEC 一 一 Canada Trusted Computer Product Evaluation Criteria: 加 拿 大 可 信 计 算 
基 评 估 准 则 。 

ITSEC 一 一 Information Technology Security Evaluation Criteria: 信息 技术 安全 评估 
准则 (欧洲 ) 。 


4.1.3 信息 安全 管理 的 基本 内 容 


信息 系统 的 安全 管理 涉及 与 信息 系统 有 关 的 安全 管理 以 及 对 信息 系统 管理 的 安全 管 
理 两 个 方面 。 这 两 个 方面 的 管理 又 分 为 技术 性 管理 和 行政 性 管理 两 类 。 其 中 ,技术 性 管 
理 以 对 OSI 安全 机 制 和 安全 服务 的 管理 以 及 对 物理 环境 的 技术 监控 为 主 ; 行政 性 管理 以 
法 律 法 规 、 规 章 制度 的 遵从 性 管理 为 主 。 信 息 安全 管理 本 身 并 不 执行 特定 的 业务 应 用 
和 通信 过 程 , 只 是 为 这 些 业 务 应 用 和 通信 过 程 中 的 安全 机 制 与 安全 服务 提供 支持 与 
控制 。 

由 信息 系统 的 行政 管理 部 门 依照 法 律 并 结合 本 单位 安全 的 实际 需要 而 制定 的 信息 系统 
的 安全 策略 是 信息 安全 管理 活动 的 重要 组 成 部 分 。 受 同一 个 机 构 管 理 并 执行 同一 个 安全 策 
略 的 多 个 网 络 实体 构成 的 集合 有 时 称 为 “安全 域 "。 安 全 域 以 及 它们 之 间 的 相互 关系 和 影响 
需要 受到 管理 者 的 特别 重视 。 

对 信息 系统 管理 的 安全 管理 包括 对 信息 系统 所 有 管理 行为 和 协议 的 安全 管理 ,以 及 对 
信息 系统 管理 信息 的 通信 的 安全 管理 ,它们 是 信息 系统 安全 管理 的 重要 组 成 部 分 。 这 一 类 
安全 管理 将 借助 对 信息 系统 安全 服务 与 机 制 进行 适当 的 配置 确保 信息 系统 管理 协议 与 管理 
信息 的 通信 获得 足够 的 保护 。 

在 信息 安全 管理 的 技术 性 规范 中 ,为 了 强化 安全 策略 的 协调 性 和 安全 组 件 之 间 的 互 操 
作 性 ,特别 提出 一 个 极为 重要 的 基本 概念 , 即 安全 管理 信息 库 (Security Management 
Information Base, SMIB) ,用 于 存储 和 交换 开放 系统 所 需 的 与 安全 有 关 的 全 部 信息 。SMIB 
是 一 个 分 布 式 信息 库 , 在 实际 操作 中 ,SMIB 的 某 些 部 分 可 以 与 管理 信息 库 (Management 
Information Base,MIB) 结 合成 一 体 , 也 可 以 完全 分 开 。SMIB 有 多 种 实现 方式 ,例如 数据 
表 、 文 件 , 以 及 嵌 人 到 开放 系统 软件 或 硬件 中 的 数据 或 规则 。 

安全 管理 协议 以 及 传送 这 些 管 理 信 息 的 通信 信道 可 能 遭受 攻击 ,所 以 应 特别 对 安全 管 
理 协 议 及 其 协议 数据 加 以 保护 ,其 保护 的 强度 通常 不 低 于 为 业务 应 用 通信 提供 的 安全 保护 
的 强度 。 

安全 管理 可 以 使 用 SMIB 信息 在 不 同行 政 管理 机 构 的 信息 系统 之 间 交 换 与 安全 有 关 的 
信息 。 在 某 些 情况 下 ,与 安全 有 关 的 信息 可 经 由 非 自 动 信息 通信 通路 传递 ,局 部 系统 的 管理 
者 也 可 采用 非 标 准 化 方法 来 修改 SMIB。 在 另外 一 些 情况 下 ,可 能 希望 通过 信息 通信 通道 
在 两 个 安全 管理 事务 之 间 传 递 信息 。 在 获得 安全 管理 者 授权 后 ,该 安全 管理 事务 将 使 用 这 
些 通信 信息 来 修改 SMIB, 但 是 修改 SMIB 必须 先 得 到 安全 管理 者 的 授权 。 
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4.2 信息 安全 等 级 保护 的 管理 


为 了 规范 全 国 各 系统 各 行业 的 电子 政务 信息 系统 .重要 信息 系统 、 企 事业 信息 系统 在 信 
息 安 全 等 级 保护 工作 中 的 管理 活动 ,提高 信息 安全 保障 能 力 和 水 平 ,维护 国 家 安全 、 社 会 稳 
定 和 公共 利益 ,保障 和 促进 信息 化 建设 ,根据 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 
例 》 等 有 关 法 律 法 规 , 由 公安 部 、 国 家 保密 局 、 国 家 密码 管理 局 .国务院 信息 化 工作 办 公 室 于 
2007 年 6 月 22 日 以 公 通 字 [2007]43 号 文件 形式 联合 颁发 4 信息 安全 等 级 保护 管理 办 法 》 
(在 本 节 的 叙述 中 简称 (管理 办 法 》) 。 

对 不 同 的 信息 系统 实行 分 等 级 的 安全 保护 是 我 国信 息 安全 保障 体系 建设 的 一 个 里 程 碑 
式 的 战略 决策 ,标志 着 我 国信 息 系 统 安全 保护 工作 向 体系 化 、 科 学 化 的 发 展 方向 迈 出 了 关键 
性 的 一 步 。 分 等 级 保护 的 实施 将 从 制度 上 解决 长 期 困扰 人 们 的 一 个 难题 , 即 从 方法 论 上 解 
决 了 不 同安 全 保护 需求 的 过 度 保护 或 保护 不 够 的 问题 ,由 此 带 来 的 社会 经 济 利益 是 巨大 的 。 

《管理 办 法 ) 将 信息 系统 安全 保护 等 级 划分 为 5 个 级 别 , 通 称 为 等 级 保护 (简称 等 保 ) ,等 
级 保护 的 主管 机 构 为 公安 机 关 , 具 体 负责 对 信息 安全 等 级 保护 工作 的 监督 .检查 .指导 ; 按 
照 5 个 保护 等 级 的 基本 思想 对 涉 密 信息 系统 的 安全 保护 规定 了 3 个 级 别 , 通 称 为 分 级 保护 
(简称 分 保 ) ,分 级 保护 的 主管 机 构 为 国家 保密 工作 部 门 ,具体 负责 对 涉 密 信息 系统 分 级 保护 
的 工作 监督 检查、 指导 ; 国家 密码 管理 部 门 具体 负责 信息 系统 等 级 保护 和 涉 密 信息 系统 分 
级 保护 工作 中 有 关 密 码 工作 的 监督 检查、 指导 ; 国务 院 信息 化 工作 办 公 室 及 地 方 信 息 化 领 
导 小 组 办 事 机 构 具 体 负责 等 级 保护 工作 的 部 门 间 的 协调 。 

国家 各 级 公安 机 关 为 实施 (管理 办 法 ) 出 台 了 信息 安全 等 级 保护 的 具体 管理 办 法 ,对 等 
级 保护 管理 工作 中 涉及 监督 .检查 和 指导 的 具体 事务 做 出 了 明确 的 规定 。 

随后 由 国家 公安 部 信息 安全 等 级 保护 评估 中 心 起 草 的 《信息 系统 安全 等 级 保护 定 级 指 
南 》(GB/T 22240 一 2008) 对 信息 系统 安全 等 级 的 定 级 方法 进行 了 详细 描述 。 

国家 制定 的 这 些 统一 的 信息 安全 等 级 保护 管理 规范 和 技术 标准 是 我 国信 息 系 统 安全 保 
护 工作 的 纲领 性 指导 文献 ,标志 着 我 国信 息 安全 保障 工作 上 了 一 个 新 的 台阶 ,为 我 国 各 类 信 
息 系统 依法 保护 其 信息 资产 提供 了 具有 可 操作 性 的 管理 规范 ,以 及 可 实现 的 技术 标准 , 必 将 
推动 我 国 的 信息 安全 保障 建设 更 加 系统 化 和 科学 化 。 

《管理 办 法 》 要 求 信 息 系 统 的 安全 主管 部 门 应 本 着 分 工 负责 、 相 互 协调 的 精神 依照 (管理 
办 法 ) 及 相关 标准 规范 ,督促 、 检 查 、 指 导 本 行业 、 本 系统 或 者 本 地 区 信息 系统 的 运营 使 用 单 
位 的 信息 安全 等 级 保护 工作 ; 信息 系统 的 运营 、 使 用 单位 应 当 依照 (管理 办 法 ) 及 其 相关 标 
准 规范 实施 等 保 工作 ,履行 信息 安全 等 级 保护 的 义务 和 责任 。 

近 十 多 年 来 的 实践 证 明 ,信息 系统 安全 等 级 保护 的 主管 部 门 与 实施 单位 的 良性 互动 和 
良好 合作 是 信息 安全 等 级 保护 管理 工作 取得 成 功 的 基础 。 


4.2.1 安全 保护 等 级 的 划分 


按照 4 国家 信息 化 领导 小 组 关于 加 强 信息 安全 保障 工作 的 意见 》( 中 办 发 [2003]27 号 
文 ) 关 于 “立足 国情 ,以 我 为 主 ” 的 原则 精神 ,信息 安全 等 级 保护 坚持 自主 定 级 .自主 保护 的 方 
针 。 因 此 ,信息 系统 的 安全 保护 等 级 应 当 根 据 信息 系统 在 国家 安全 、 经 济 建设 ,社会 生活 中 


23 
第 4 章 RR 


的 重要 程度 ,信息 系统 人 遭 到 破坏 后 对 国家 安全 、 社 会 秩序 、 公 共 利 益 以 及 公民 、 法 人 和 其 他 组 
织 的 合法 权益 的 危害 程度 等 因素 予以 确定 。 从 技术 角度 看 ,如 果 把 信息 安全 保护 等 级 的 确 
定 作 为 系统 工程 的 输出 因 变 量 ,那么 它 的 输入 就 是 多 自 变量 。 换 句 话 说 ,信息 安全 保护 等 级 
的 确定 不 太 可 能 依赖 单一 因素 就 可 以 解决 问题 ,而 是 需要 综合 考虑 多 种 因素 的 影响 ,当然 这 
多 种 因素 中 可 能 有 一 个 或 两 个 因素 会 对 等 级 的 确定 起 到 决定 性 作用 ,这 也 是 人 们 通常 所 说 
的 影响 因素 权重 的 问题 。 

4.2.1.1 安全 保护 等 级 的 框架 

参照 (计算 机 信息 系统 安全 保护 等 级 划分 准则 》(GB 17859 一 1999),《 管 理 办 法 ) 将 我 国 
信息 系统 的 安全 保护 等 级 划分 为 以 下 5 个 等 级 : 

第 一 级 ,信息 系统 受到 破坏 后 会 对 公民 、 法 人 和 其 他 组 织 的 合法 权益 造成 损害 ,但 不 损 
害 国 家 安全 、 社 会 秩序 和 公共 利益 。 

第 二 级 ,信息 系统 受到 破坏 后 会 对 公民 、 法 人 和 其 他 组 织 的 合法 权益 产生 严重 的 损害 ， 
或 者 对 社会 秩序 和 公共 利益 造成 损害 ,但 不 损害 国家 安全 。 

第 三 级 ,信息 系统 受到 破坏 后 会 对 社会 秩序 和 公共 利益 造成 严重 的 损害 ,或 者 对 国家 安 
全 造成 损害 。 

第 四 级 ,信息 系统 受到 破坏 后 会 对 社会 秩序 和 公共 利益 造成 特别 严重 的 损害 ,或 者 对 国 
家 安全 造成 严重 的 损害 。 

第 五 级 ,信息 系统 受到 破坏 后 会 对 国家 安全 造成 特别 严重 的 损害 。 

这 5 个 等 级 为 确定 信息 系统 的 安全 保护 强度 提供 了 一 个 框架 指导 ,在 实际 定 级 工作 中 
是 不 可 操作 的 。 问 题 在 于 如 何 界 定 信息 系 统 受 到 破坏 后 “会 对 公民 、 法 人 和 其 他 组 织 的 合法 
权益 造成 损害 ”?” 如 何 界定 信息 系统 受到 破坏 后 “会 对 公民 、 法 人 和 其 他 组 织 的 合法 权益 产 
生 严 重 的 损害 ,或 者 对 社会 秩序 和 公共 利益 造成 损害 ,但 不 损害 国家 安全 ”"? 如 何 界定 信息 
系统 受到 破坏 后 “会 对 社会 秩序 和 公共 利益 造成 严重 的 损害 ,或 者 对 国家 安全 造成 损害 ”? 
如 何 界定 信息 系统 受到 破坏 后 “会 对 社会 秩序 和 公共 利益 造成 特别 严重 的 损害 ,或 者 对 国家 
安全 造成 严重 的 损害 ”? 如 何 界定 信息 系统 受到 破坏 后 “会 对 国家 安全 造成 特别 严重 的 
损害 ”? 

接 下 来 的 内 容 将 回答 上 述 问题 。 

4.2.1.2 安全 保护 等 级 的 划分 方法 

1. 定 级 对 象 

从 信息 安全 保护 等 级 的 五 级 框架 定义 出 发 ,首先 要 明确 给 谁 定 级 , 即 什么 样 的 信息 系统 
才 是 利用 五 级 框架 定 级 的 适用 对 象 ? 其 次 ,“ 对 公民 、 法 人 和 其 他 组 织 的 合法 权益 造成 损害 
或 严重 的 损害 ”“ 对 社会 秩序 和 公共 利益 造成 损害 或 严重 的 损害 "和 “对 国家 安全 造成 损害 ” 
或 “严重 的 损害 ”或 “特别 严重 的 损害 ”等 这 样 一 些 衡量 信息 系统 需要 保护 的 等 级 需求 指标 在 
哪里 寻找 可 以 观察 的 表现 形式 ? 

根据 (GB/T 22240 一 2008《 信 息 安全 等 级 保护 的 定 级 指南 ) 对 定 级 对 象 的 定义 ,作为 定 
级 对 象 的 信息 系统 应 具有 以 下 基本 特征 。 

1) 具有 唯一 确定 的 安全 责任 单位 

作为 定 级 对 象 的 信息 系统 ,应 该 有 一 个 机 构 或 其 所 属 的 组 织 对 信息 系统 的 安全 负责 。 
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如 果 一 个 组 织 的 某 个 下 属 机 构 负责 信息 系统 安全 建设 .运行 和 维护 等 过 程 的 全 部 安全 责任 ， 
则 这 个 下 属 机 构 可 以 成 为 该 信息 系统 的 安全 责任 单位 ; 如 果 一 个 组 织 的 不 同 下 属 机 构 分 别 
承担 信息 系统 不 同方 面 的 安全 责任 , 则 该 信息 系统 的 安全 责任 单位 应 是 这 些 下 属 机 构 共同 
所 属 的 上 一 级 组 织 。 

2) 具有 完整 的 信息 系统 的 基本 要 素 

作为 定 级 对 象 的 信息 系统 ,应 该 是 由 相关 的 和 配套 的 设备 .设施 按照 一 定 的 应 用 目标 和 
规则 组 合 而 成 的 独立 的 或 相对 独立 的 有 形 实 体 。 单 一 的 系统 组 件 , 如 服务 器 、 终 端 .网 络 设 
备 等 没有 必要 作为 定 级 对 象 。 

3) 承载 单一 或 相对 独立 的 业务 应 用 

作为 定 级 对 象 的 信息 系统 ,可 以 承载 “单一 ”的 业务 应 用 ( 即 该 业务 应 用 的 业务 流程 独 
立 , 与 其 他 业务 应 用 没有 数据 交换 ), 且 独 享 所 有 信息 处 理 设备 ( 即 不 与 其 他 应 用 程序 共享 其 
中 的 所 有 或 部 分 信息 处 理 设备 ); 也 可 以 承载 “相对 独立 ”的 业务 应 用 ( 即 其 业务 应 用 的 主要 
业务 流程 独立 ,与 其 他 业务 应 用 只 有 少量 的 数据 交换 ) ,这样 的 信息 系统 可 能 会 与 其 他 业务 
应 用 程序 共享 一 些 设备 ,尤其 是 网 络 传 输 设备 。 

对 于 大 型 组 织 机 构 内 运行 的 信息 系统 而 言 ,一 般 承 载 不 止 一 个 “单一 ”业务 应 用 ,信息 处 
理 设 备 的 共享 程度 高 (例如 核心 交换 机 、 传 输 网 络 .存储 区 域 ) ,可 将 较 大 的 信息 系统 划分 为 
若干 个 较 小 的 .可 能 具有 不 同安 全 保护 等 级 的 定 级 对 象 。 每 个 较 小 的 定 级 对 象 或 按 承 载 单 
一 业务 应 用 流程 ( 即 该 业务 应 用 的 业务 流程 独立 ,与 其 他 业务 应 用 没有 数据 交换 ) ,或 按 承 载 
“相对 独立 ”的 业务 应 用 ( 即 其 业务 应 用 的 主要 业务 流程 独立 ,与 其 他 业务 应 用 只 有 少量 的 数 
据 交 换 ) 的 方法 确定 。 这 样 , 既 体现 对 重要 部 分 的 重点 保护 ,又 兼顾 到 一 般 的 保护 需求 ,不 仅 
可 以 有 效 地 控制 信息 安全 建设 成 本 ,也 能 依 此 方法 解决 对 一 些 信息 资源 的 保护 过 度 而 对 另 
一 些 信息 资源 的 保护 不 足 的 问题 ,这 是 一 种 优化 信息 安全 资源 配置 的 科学 方法 。 

2. 定 级 要 素 

信息 系统 的 功能 在 于 处 理 业 务 信 息 和 提供 服务 。 在 对 信息 系统 确定 安全 保护 等 级 时 必 
须 确定 信息 系统 内 业务 信息 的 安全 保护 等 级 和 系统 服务 的 安全 保护 等 级 , 当 这 两 个 子 系统 
的 保护 等 级 不 相同 时 , 则 以 其 中 较 高 的 等 级 作为 信息 系统 的 安全 保护 等 级 。 

但 是 直接 考察 业务 信息 和 系统 服务 所 需要 的 安全 保护 等 级 几乎 是 无 从 下 手 ,那么 是 否 
可 以 通过 因果 关系 的 分 析 来 推导 出 业务 信息 和 业务 服务 的 安全 保护 等 级 需求 呢 ? 这 里 可 以 
将 信息 系统 安全 保护 等 级 看 作 结 论 ,那么 信息 系统 安全 遭受 破坏 后 对 国家 和 社会 造成 的 损 
害 以 及 损害 的 程度 就 是 必要 条 件 , 因 此 只 有 当 满 足 一 定 的 条 件 后 才能 得 出 某 一 结论 。 在 我 
国 国情 和 社会 制度 的 背景 下 ,对 信息 系统 安全 遭受 破坏 后 所 受到 的 影响 (被 损害 的 国家 和 社 
会 性 要 素 , 以 及 被 损害 的 程度 ) 是 可 以 定性 或 定量 进行 评估 的 ,这 就 为 确定 保护 等 级 提供 了 
可 行 的 方法 。 

《信息 安全 等 级 保护 的 定 级 指南 》(GB/T 22240 一 2008) 将 信息 系统 遭受 破坏 后 的 影响 
要 素 定义 为 与 信息 系统 安全 遭受 破坏 后 相关 的 受 侵 害 客 体 和 对 客体 的 侵害 程度 。 由 此 推 
定 ,信息 系统 的 安全 保护 等 级 由 两 个 定 级 要 素来 决定 , 即 等 级 保护 对 象 (信息 系统 ) 受 到 破坏 
时 所 侵害 的 客体 和 对 客体 造成 侵害 的 程度 。 

1) 受 侵害 的 客体 

等 级 保护 对 象 (信息 系统 ) 受 到 破坏 时 直接 或 间接 地 损害 到 客体 (一 些 可 以 观测 或 感受 
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的 货币 化 或 非 货币 化 形态 的 事物 ) ,这 些 客体 包括 以 下 内 容 : 

。 公民 法 人 和 其 他 组 织 的 合法 权益 ; 

。 社会 秩序 .公共 利益 ; 

。 国 家 安全 。 

2) 对 客体 的 侵害 程度 

由 于 对 客体 的 侵害 是 对 等 级 保护 对 象 (信息 系统 ) 破 坏 的 外 在 表现 ,因此 ,对 等 级 保护 对 
象 (信息 系统 ) 的 破坏 可 以 通过 客体 被 危害 的 程度 加 以 描述 。 

等 级 保护 对 象 ( 信 息 系 统 ) 受 到 破坏 后 对 客体 造成 侵害 的 程度 归纳 如 下 : 

。 一般 损害 ; 

。 严重 损害 ; 

。 特别 严重 损害 。 

关于 客体 受到 损害 的 3 个 程度 限定 副词 (一 般 、 严 重 \ 特 别 严重 ) 的 判断 ,在 客观 上 可 以 
设计 一 些 观察 指标 (在 下 面 的 “4. 等 级 确定 ”处 有 详细 描述 )。 这 些 指标 是 定性 与 定量 相 结合 
的 综合 指标 体系 ,运用 这 些 指标 来 辅助 确定 信息 安全 保护 等 级 还 需要 有 评估 人 员 主 观 因素 
的 配合 ,这 些 主 观 因素 包括 与 确定 保护 等 级 的 相关 人 员 的 技术 能 力 、 职 业 素质 和 责任 心 。 

定 级 要 素 与 信息 系统 安全 保护 等 级 的 关系 如 表 4. 2 所 示 。 


表 4.2 定 级 要 素 与 安全 保护 等 级 的 关系 


对 客体 的 侵害 程度 
受 侵害 的 客体 
一 般 损害 严重 损害 特别 严重 损害 
公民 ,法 人 和 其 他 组 织 的 合法 权益 第 一 级 第 二 级 第 二 级 
社会 秩序 ,公共 利益 第 二 级 第 三 级 第 四 级 
国家 安全 第 三 级 第 四 级 第 五 级 


由 表 4. 2 可 知 ,只 要 在 对 客体 及 其 所 受 损害 的 程度 确定 后 即 可 确定 保护 等 级 。 

3. 定 级 流程 

信息 系统 安全 包括 业务 信息 安全 和 系统 服务 安全 ,与 之 相关 的 受 侵 害 客 体 和 对 客体 的 
侵害 程度 可 能 不 同 ,因此 ,信息 系统 定 级 也 应 由 业务 信息 安全 和 系统 服务 安全 两 个 方面 
确定 。 

从 业务 信息 安全 角度 反映 的 信息 系统 安全 保护 等 级 称 业务 信息 安全 保护 等 级 。 

从 系统 服务 安全 角度 反映 的 信息 系统 安全 保护 等 级 称 系统 服务 安全 保护 等 级 。 

确定 信息 系统 安全 保护 等 级 的 一 般 步 骤 如 下 : 

@ 确定 作为 定 级 对 象 的 信息 系统 ,并 列 出 业务 信息 和 系统 服务 ; 

@ 确定 业务 信息 安全 受到 破坏 时 所 侵害 的 客体 ; 

@ 综合 评定 业务 信息 安全 被 破坏 对 不 同 客体 的 侵害 程度 ; 

@ 依据 表 4. 3 得 到 业务 信息 安全 保护 等 级 ; 

@ 确定 系统 服务 安全 受到 破坏 时 所 侵害 的 客体 ; 

@ 综合 评定 系统 服务 安全 被 破坏 对 不 同 客体 的 侵害 程度 ; 

@ 依据 表 4. 4 得 到 系统 服务 安全 保护 等 级 ; 

将 业务 信息 安全 保护 等 级 和 系统 服务 安全 保护 等 级 较 高 者 确定 为 定 级 对 象 的 安全 
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保护 等 级 。 
上 述 步 又 如 图 4. 1 所 示 ,其 中 各 项 描述 分 别 对 应 图 4. 1 中 的 各 项 描述 。 


确定 定 级 对 象 


@ 确定 业务 信息 安全 受到 破坏 图 确定 系统 服务 安全 受到 破坏 
时 所 侵害 的 客体 时 所 侵害 的 客体 


1 1 
图 综合 评定 对 客体 的 侵害 程度 @@ 综合 评定 对 客体 的 侵害 程度 


依据 表 4.3 依据 表 4.4 


1 
图 业务 信息 安全 等 级 @ 系统 服务 安全 等 级 


定 级 对 象 的 安全 保护 等 级 
4.1 确定 信息 系统 安全 保护 等 级 的 一 般 流程 


4. 等 级 确定 

按 上 述 流 程 的 规定 ,在 确定 信息 系统 的 安全 保护 等 级 (包括 业务 信息 安全 保护 等 级 和 系 
统 服务 安全 保护 等 级 ) 时 需要 准确 地 识别 出 被 定 级 的 信息 系统 受到 破坏 后 ,被 侵害 的 客体 以 
及 这 些 客体 被 侵害 的 程度 。 这 里 所 说 的 识别 受 侵害 的 客体 和 客体 受 侵害 的 程度 都 需要 具体 
的 可 观察 的 指标 ,下 面 分 别 予 以 描述 。 

1) 确定 待定 级 对 象 (信息 系统 ) 受 到 破坏 而 侵害 的 客体 

依 本 节 “2. 定 级 要 素 ” 中 的 定义 ,待定 级 对 象 (信息 系统 ) 受 到 破坏 时 所 侵害 的 客体 包括 
国家 安全 ,社会 秩序 公共 利益 ,以 及 公民 、 法 人 和 其 他 组 织 的 合法 权益 。 

为 便于 观察 ,将 侵害 国家 安全 的 事项 具体 分 解 为 以 下 所 述 的 形式 : 

。 影响 国家 政权 稳固 和 国防 实力 ; 

。 影响 国家 统一 、 民 族 团结 和 社会 安定 ; 

。 影 响 国家 对 外 活动 中 的 政治 经 济 利益 ; 

。 影响 国家 重要 的 安全 保卫 工作 ; 

。 影 响 国家 经 济 竞争 力 和 科技 实力 ; 

。 其 他 损害 国家 安全 的 事项 。 

将 侵害 社会 秩序 的 事项 分 解 为 以 下 所 述 的 形式 : 

。 影响 国家 机 关 社 会 管理 和 公共 服务 的 工作 秩序 ; 

。 影响 各 种 类 型 的 经 济 活动 秩序 ; 

。 影响 各 行业 的 科研 .生产 秩序 ; 

。 影响 公众 在 法 律 约束 和 道德 规范 下 的 正常 生活 秩序 等 ; 

。 其 他 损害 社会 秩序 的 事项 。 

将 影响 公共 利益 的 事项 分 解 为 以 下 所 述 的 形式 : 


”影响 社会 成 员 使 用 公共 设施 ; 

。 影响 社会 成 员 获 取 公 开 信 息 资 源 ; 

。 影响 社会 成 员 接受 公共 服务 等 ; 

。 其 他 影响 公共 利益 的 事项 。 

影响 公民 、 法 人 和 其 他 组 织 的 合法 权益 是 指 由 法 律 确认 的 、 并 受 法 律 保护 的 公民 、 法 人 
和 其 他 组 织 所 享有 的 社会 权力 和 利益 。 

考察 定 级 对 象 (信息 系统 ) 受 到 破坏 后 所 侵害 的 客体 时 ,应 首先 判断 是 否 损害 国家 安全 ， 
然后 判断 是 否 损害 社会 秩序 或 公共 利益 ,最 后 判断 是 否 侵害 公民 ,法 人 和 其 他 组 织 的 合法 权 
益 。 这 是 确定 保护 等 级 由 高 到 低 的 降序 方法 。 

各 行业 可 根据 本 行业 的 业务 特点 分 析 各 类 信息 和 各 类 信息 系统 与 国家 安全 ,社会 秩序 、 
公共 利益 ,以 及 公民 、 法 人 和 其 他 组 织 的 合法 权益 的 关系 ,从 而 确定 本 行业 各 类 信息 和 各 类 
信息 系统 受到 破坏 时 所 侵害 的 客体 。 

2) 确定 待定 级 对 象 (信息 系统 ) 受 到 破坏 后 对 客体 的 侵害 程度 

对 客体 的 侵害 表现 为 对 定 级 对 象 (信息 系统 ) 的 破坏 ,其 具体 表现 形式 为 对 业务 信息 安 
全 的 破坏 和 对 信息 系统 服务 的 破坏 。 其 中 ,对 业务 信息 安全 的 破坏 是 指 破坏 信息 系统 内 信 
息 的 保密 性 、 完 整 性 和 可 用 性 等 ; 对 系统 服务 安全 的 破坏 是 指 破坏 信息 系统 可 以 及 时 、 有 效 
地 提供 服务 ,以 完成 预定 的 业务 目标 的 功能 和 能 力 。 由 于 业务 信息 安全 和 系统 服务 安全 受 
到 破坏 时 被 侵害 的 客体 所 受 的 侵害 程度 可 能 会 有 所 不 同 ,因此 在 定 级 过 程 中 需要 分 别 对 客 
体 受 侵害 的 程度 予以 考查 。 

业务 信息 安全 和 系统 服务 安全 受到 破坏 后 ,下 列 危 害 后 果 是 可 以 观测 的 ， 

。 降低 或 老 失 服务 职能 

。 业务 能 力 下 降 ; 

。 引起 法 律 纠纷 ; 

。 导致 财产 损失 ; 

。 造成 不 良 社会 影响 ; 

。 对 其 他 组 织 和 个 人 造成 损失 ; 

”其 他 影响 。 

这 些 表 现形 式 可 向 上 归 类 到 受 侵害 的 客体 内 ,例如 “造成 不 良 社 会 影响 ”可 以 归 类 到 侵 
害 “ 社 会 秩序 ”这 一 客体 ,“ 导 致 财产 损失 ”可 以 归 类 到 侵害 “公民 ,法 人 或 其 他 组 织 的 合法 权 
益 ” 这 一 客体 ,等 等 。 

侵害 程度 是 客观 方面 的 不 同 外 在 表现 的 综合 体现 ,因此 ,应 首先 根据 不 同 的 受 侵害 客 
体 \ 不 同 的 危害 后 果 分 别 确定 其 危害 程度 。 对 不 同 危 害 后 果 确 定 其 危害 程度 所 采取 的 方法 
和 所 考虑 的 角度 可 能 不 同 , 例 如 系统 服务 安全 被 破坏 导致 业务 能 力 下 降 的 程度 可 以 从 信息 
系统 服务 覆盖 的 区 域 范围 用户 人 数 或 业务 量 等 不 同方 面 确定 ,业务 信息 安全 被 破坏 导致 的 
财物 损失 可 以 从 直接 的 资金 损失 大 小 、 间 接 的 信息 恢复 费用 等 方面 进行 确定 。 

在 判断 不 同 的 客体 受 侵害 程度 时 应 参照 以 下 判别 基准 : 

。 如 果 受 侵害 客体 是 公民 、 法 人 或 其 他 组 织 的 合法 权益 , 则 以 本 人 或 本 单位 的 总 体 利 

益 作为 判断 侵害 程度 的 基准 ; 
。 如 果 受 侵害 客体 是 社会 秩序 、 公 共 利 益 或 国家 安全 , 则 应 以 整个 行业 或 国家 的 总 体 
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利益 作为 判断 侵害 程度 的 基准 ; 
。 如 果 受 侵害 客体 是 国家 安全 , 则 应 在 国家 安全 法 的 框架 内 以 国家 安全 主管 部 门 的 指 
导 意 见 作 为 判断 侵害 程度 的 基准 。 

对 待定 级 对 象 (信息 系统 ) 受 破坏 后 对 客体 的 损害 程度 描述 如 下 : 

(1) 一 般 损害 。 

受 侵害 客体 具有 下 列 情 况 之 一 : 

。 工作 职能 受到 局 部 影响 ,业务 能 力 有 所 降低 ,但 不 影响 主要 功能 的 执行 

。 出 现 的 法 律 纠纷 不 大 ; 

。 财产 损失 较 小 ; 

。 对 社会 的 不 良 影响 较 小 ; 

。 对 其 他 组 织 和 个 人 造成 的 损害 较 低 。 

(2) 严重 损害 。 

受 侵害 客体 具有 下 列 情况 之 一 : 

。 工作 职能 受到 严重 影响 ,业务 能 力 显 著 下 降 , 且 严重 影响 主要 功能 执行 ; 

。 出 现 较 严重 的 法 律 问题 ; 

。 财产 损失 较 大 ; 

。 社会 不 良 影响 面 较 大 ; 

。 对 其 他 组 织 和 个 人 造成 的 损害 较 严重 。 

(3) 特别 严重 损害 。 

受 侵害 客体 具有 下 列 情况 之 一 : 

。 工作 职能 受到 特别 严重 影响 或 丧失 行使 能 力 ; 

。 业务 能 力 严 重 下 降 或 功能 无 法 执行 ; 

。 出 现 极 其 严重 的 法 律 问题 ; 

。 财产 损失 极 大 ; 

。 社会 不 良 影响 的 范围 广泛 ; 

。 对 其 他 组 织 和 个 人 造成 的 损害 非常 严重 。 

利用 上 述 观 测 指标 进行 判断 时 ,可 能 在 一 种 危害 程度 类 型 中 具有 不 止 一 种 情况 ,但 只 需 
要 一 种 情况 就 可 以 作为 判断 的 依据 进行 定 级 ,例如 在 “严重 损失 ”的 描述 中 既 有 比较 严重 的 
法 律 问题 ,又 存在 影响 面 较 大 的 社会 影响 , 则 根据 一 种 情况 即 可 定 级 ; 如 在 几 种 危害 程度 类 
型 中 都 可 以 找到 受害 的 情况 , 则 以 危害 程度 最 高 的 作为 定 级 的 依据 ,例如 既 存在 极 严重 的 法 
律 问题 ,又 出 现 较 大 的 财产 损失 , 则 应 根据 * 极 严重 的 法 律 问题 "来 确定 保护 等 级 。 

业务 信息 安全 和 系统 服务 安全 被 破坏 后 对 客体 的 侵害 程度 通过 对 受 侵害 的 不 同 客体 所 
遭受 的 危害 程度 进行 综合 评定 得 出 。 由 于 各 行业 信息 系统 所 处 理 的 信息 种 类 和 系统 服务 特 
点 各 不 相同 ,业务 信息 安全 和 系统 服务 安全 受到 破坏 后 客体 所 受 侵害 程度 的 计算 方式 均 可 
能 不 同 ,各 行业 可 根据 本 行业 的 业务 信息 特点 和 系统 服务 特点 在 上 述 方法 的 指导 下 制定 符 
合 本 单位 实际 的 危害 程度 的 综合 评定 体系 ,并 给 出 侵害 不 同 客体 造成 一 般 损害 、 严 重 损害 、 
特别 严重 损害 的 具体 定义 。 

根据 业务 信息 安全 被 破坏 时 所 侵害 的 客体 以 及 对 相应 客体 的 侵害 程度 ,依据 表 4.3 所 
示 的 业务 信息 安全 保护 等 级 矩阵 表 即 可 得 到 业务 信息 安全 保护 等 级 。 


表 4.3 业务 信息 安全 保护 等 级 矩阵 表 


对 相应 客体 的 侵害 程度 
业务 信息 安全 被 破坏 时 所 侵害 的 客体 
一 般 损害 严重 损害 特别 严重 损害 
公民 ,法 人 和 其 他 组 织 的 合法 权益 第 一 级 第 二 级 第 二 级 
社会 秩序 ,公共 利益 第 二 级 第 三 级 第 四 级 
国家 安全 第 三 级 第 四 级 第 五 级 


根据 系统 服务 安全 被 破坏 时 所 侵害 的 客体 以 及 对 相应 客体 的 侵害 程度 ,依据 表 4.4 所 
示 的 系统 服务 安全 保护 等 级 矩阵 表 即 可 得 到 系统 服务 安全 保护 等 级 。 


表 4.4 系统 服务 安全 保护 等 级 矩阵 表 


对 相应 客体 的 侵害 程度 
系统 服务 安全 被 破坏 时 所 侵害 的 客体 
一 般 损害 严重 损害 特别 严重 损害 
公民 ,法 人 和 其 他 组 织 的 合法 权益 第 一 级 第 二 级 第 二 级 
社会 秩序 公共 利益 第 二 级 第 三 级 第 四 级 
国家 安全 第 三 级 第 四 级 第 五 级 


作为 定 级 对 象 的 信息 系统 的 安全 保护 等 级 由 业务 信息 安全 保护 等 级 和 系统 服务 安全 保 
护 等 级 的 较 高 者 决定 。 

信息 系统 运营 、 使 用 单位 依据 (信息 系统 安全 等 级 保护 定 级 指南 ?确定 信息 系统 的 安全 
保护 等 级 后 ,有 主管 部 门 的 ,应 将 确定 的 信息 系统 安全 保护 等 级 报请 主管 部 门 审核 批准 。 

同一 行业 、 业 务 系统 跨 省 运行 的 或 者 全 国 统一 联网 运行 的 信息 系统 可 以 由 主管 部 门 统 
一 确定 安全 保护 等 级 。 

对 拟 确定 为 第 四 级 ( 含 ) 以 上 信息 系统 的 ,运营 、 使 用 单位 或 者 主管 部 门 应 当 邀 请 具有 资 
质 的 信息 安全 保护 等 级 专家 组 成 评审 委员 会 进行 评审 。 


4.2.2 安全 等 级 保护 工作 的 监管 


信息 系统 运营 、 使 用 单位 依据 管理 办 法 和 相关 技术 标准 对 信息 系统 进行 保护 ,国家 有 关 
信息 安全 监管 部 门 对 其 信息 安全 等 级 保护 工作 进行 监督 管理 。 这 里 所 说 的 运营 单位 指 负 责 
电子 政务 信息 系统 、 重 要 信息 系统 \ 企 事业 信息 系统 运营 的 单位 ,可 以 是 这 些 信息 系统 的 所 
有 者 或 管理 者 单位 ,也 可 以 是 受 特别 委托 的 国家 授权 的 第 三 方 组 织 ; 使 用 单位 则 是 利用 信 
息 系 统 完 成 或 执行 工作 职能 的 组 织 或 机 构 。 

实行 第 一 级 安全 保护 的 信息 系统 运营 ,使 用 单位 依据 国家 有 关 管 理 规范 和 技术 标准 自 
主 进行 保护 。 

实行 第 二 级 安全 保护 的 信息 系统 运营 ,使 用 单位 除 依 据 国家 有 关 管 理 规范 和 技术 标准 
自主 进行 保护 外 ,还 需 接 受 国家 信息 安全 监管 部 门 对 该 级 信息 系统 信息 安全 等 级 保护 工作 
的 指导 。 

实行 第 三 级 安全 保护 的 信息 系统 运营 、 使 用 单位 在 依据 国家 有 关 管 理 规范 和 技术 标准 
进行 保护 的 过 程 中 必须 接受 国家 信息 安全 监管 部 门 对 该 级 信息 系统 信息 安全 等 级 保护 工作 
的 监督 .检查 。 
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实行 第 四 级 安全 保护 的 信息 系统 运营 、 使 用 单位 在 依据 国家 有 关 管 理 规范 .技术 标准 和 
业务 专门 需求 进行 保护 的 过 程 中 ,国家 信息 安全 监管 部 门 对 该 级 信息 系统 信息 安全 等 级 保 
护 工作 进行 强制 监督 检查 。 

实行 第 五 级 安全 保护 的 信息 系统 运营 、 使 用 单位 在 依据 国家 有 关 管 理 规范 .技术 标准 和 
业务 特殊 安全 需求 进行 保护 的 过 程 中 ,由 国家 信息 安全 监管 机 构 指定 专门 部 门 对 该 级 信息 
系统 信息 安全 等 级 保护 工作 进行 专门 监督 .检查 。 


4.2.3 安全 等 级 保护 的 实施 


信息 系统 的 安全 保护 等 级 确定 后 ,运营 、 使 用 单位 应 当 按照 国家 信息 安全 等 级 保护 管理 
规范 和 技术 标准 ,使 用 符合 国家 有 关 规 定 , 满 足 信息 系统 安全 保护 等 级 需求 的 信息 技术 产 
品 ,开展 信息 系统 安全 建设 或 者 改建 工作 。 

信息 系统 运营 、 使 用 单位 应 按照 (信息 系统 安全 等 级 保护 实施 指南 ) 实 施 等 级 保护 工作 。 

在 信息 系统 建设 过 程 中 ,运营 、 使 用 单位 应 当 按 照 (信息 系统 安全 等 级 保护 基本 要 求 ) 等 
技术 标准 ,参照 (信息 安全 技术 ”信息 系统 通用 安全 技术 要 求 )GB/T 20271 一 2006) 《信息 
安全 技术 ”网 络 基 础 安全 技术 要 求 )(KGB/T 20270 一 2006) 《信息 安全 技术 ”操作 系统 安全 
技术 要 求 MGB/T 20272 一 2006) 《信息 安全 技术 ”数据库 管 理 系 统 安全 技术 要 求 》(GB/T 
20273 一 2006) 《信息 安全 技术 ”服务 器 技术 要 求 )《 信 息 安 全 技术 ”终端 计算 机 系统 安全 
等 级 技术 要 求 )(GA/T 671 一 2006) 等 技术 标准 同步 建设 符合 该 等 级 要 求 的 信息 安全 设施 。 

4.2.3.1 基本 原则 

信息 系统 安全 等 级 保护 管理 的 核心 是 对 信息 系统 划分 保护 等 级 \ 按 相关 标准 进行 建设 、 
管理 和 监督 。 信 息 系 统 安 全 等 级 保护 在 实施 过 程 中 应 遵循 以 下 基本 原则 : 

1. 自主 保护 与 监管 相 结 合 

信息 系统 运营 、 使 用 单位 及 其 主管 部 门 遵循 国家 相关 法 规 和 标准 ,依照 确定 的 信息 系统 
的 安全 保护 等 级 自行 组 织 实 施 安全 保护 。 在 实施 安全 保护 的 过 程 中 ,需要 由 国家 信息 安全 
监管 部 门 指导 的 (第 二 级 安全 保护 等 级 ) ,应 主动 征询 指导 意见 ; 需要 接受 国家 信息 安全 监 
管 部 门 监督 .检查 (第 三 级 安全 保护 等 级 ) 或 强制 监督 ,检查 的 (第 四 级 安全 保护 等 级 ) ,应 自 
觉 接受 监督 .检查 ; 需要 由 国家 安全 监管 机 构 指 定 专 门 部 门 进 行 专门 监督 .检查 的 (第 五 级 
安全 保护 等 级 ) ,应 主动 予以 配合 。 

2. 重点 保护 

根据 信息 系统 的 重要 程度 、 业 务 特点 划分 不 同 的 安全 保护 等 级 ,实现 不 同 强 度 的 安全 保 
护 ,从 而 集中 安全 资源 优先 保护 涉及 核心 业务 或 关键 信息 的 资产 。 

3. 同步 建设 

信息 系统 在 新 建 , 改 建 、 扩 建 时 应 当 同步 规划 和 设计 安全 方案 ,投入 一 定 比例 的 资金 建 
设 变更、 健全 信息 安全 设施 ,确保 信息 安全 与 信息 化 建设 相 适 应 。 

4. 动态 调整 

我 们 要 跟踪 信息 系统 的 变化 情况 , 随 之 调整 安全 保护 措施 。 由 于 信息 系统 的 应 用 类 型 、 
应 用 范围 或 服务 能 力 以 及 使 用 环境 等 条 件 发 生变 化 ,安全 保护 等 级 需要 进行 变更 的 ,应 当 根 
据 等 级 保护 的 管理 规范 和 技术 标准 的 要 求 重新 确定 信息 系统 的 安全 保护 等 级 ,根据 信息 系 
统 安全 保护 等 级 的 变化 情况 调整 安全 保护 方案 并 重新 实施 安全 保护 。 
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4.2.3.2 角色 和 职责 


信息 系统 安全 等 级 保护 实施 过 程 中 涉及 各 种 角色 ,它们 各 自 有 不 同 的 职责 ,共同 维护 我 
国 各 类 信息 系统 的 安全 等 级 保护 。 

1. 国家 管理 部 门 

公安 机 关 负 责 信息 系统 安全 等 级 保护 工作 的 监督 检查、 指导 ; 国家 保密 工作 部 门 负 责 
国家 秘密 信息 系统 安全 等 级 保护 工作 中 的 监督 检查、 指导 ; 国家 密码 管理 部 门 负责 各 类 信 
息 系统 安全 等 级 保护 工作 中 有 关 密 码 工 作 的 监督 检查、 指导 ; 涉及 其 他 职能 部 门 管辖 范围 
的 事项 由 有 关 职 能 部 门 依照 国家 法 律 法 规 的 规定 进行 管理 ; 国务 院 信息 化 工作 办 公 室 及 地 
方 信息 化 领导 小 组 办 事 机 构 负责 等 级 保护 工作 的 部 门 间 协 调 。 

2. 信息 系统 主管 部 门 

国家 机 关 或 政府 部 门 负责 依 照 国家 信息 安全 等 级 保护 的 管理 规范 和 技术 标准 督促 、 检 
查 和 指导 本 行业 、 本 部 门 或 者 本 地 区 信息 系统 运营 、 使 用 单位 的 信息 安全 等 级 保护 工作 。 

3. 信息 系统 运营 、 使 用 单位 

信息 系统 运营 、 使 用 单位 负责 依照 国家 信息 安全 等 级 保护 的 管理 规范 和 技术 标准 确定 
其 信息 系统 的 安全 保护 等 级 ,有 主管 部 门 的 ,应 当 报 其 主管 部 门 审核 批准 ; 根据 已 经 确定 的 
安全 保护 等 级 到 公安 机 关 办 理 备案 手 续 ( 涉 密 信息 系统 除外 ); 按照 国家 信息 安全 等 级 保护 
管理 规范 和 技术 标准 进行 信息 系统 安全 等 级 保护 的 规划 、 设 计 ; 使 用 符合 国家 有 关 规 定 满 
足 信息 系统 安全 保护 等 级 需求 的 信息 技术 产品 和 信息 安全 产品 开展 信息 系统 安全 建设 或 者 
改建 工作 ; 制定 落实 各 项 安全 管理 制度 ,定期 对 信息 系统 的 安全 状况 .安全 保护 制度 及 措 
施 的 落实 情况 进行 自 查 , 选 择 符合 国家 相关 规定 的 安全 保护 等 级 测评 机 构 ,定期 进行 安全 保 
护 等 级 的 测评 ; 制定 不 同等 级 信息 安全 事件 的 响应 \ 处 置 预案 ,对 信息 系统 的 信息 安全 事件 
分 等 级 进行 应 急 处 置 。 

4. 信息 安全 服务 机 构 

获得 国家 主管 机 关 批 准 的 具有 资质 和 能 力 的 信息 安全 服务 从 业 法 人 单位 接受 信息 系统 
运营 ,使 用 单位 的 委托 ,依照 国家 信息 安全 等 级 保护 的 管理 规范 和 技术 标准 为 信息 系统 运 
营 、 使 用 单位 完成 等 级 保护 的 相关 工作 提供 咨询 或 协助 服务 ,包括 参与 确定 其 信息 系统 的 安 
全 保护 等 级 .进行 安全 需求 分 析 .安全 措施 总 体 规划 .实施 安全 建设 和 安全 改造 等 。 

5. 信息 安全 等 级 测评 机 构 

由 国家 授权 成 立 的 特殊 的 信息 安全 服务 机 构 受 信息 系统 运营 、 使 用 单位 的 委托 或 根据 
国家 管理 部 门 的 委托 ,协助 信息 系统 运营 、 使 用 单位 或 国家 管理 部 门 按照 国家 信息 安全 等 级 
保护 的 管理 规范 和 技术 标准 对 已 经 完成 等 级 保护 建设 的 信息 系统 进行 安全 等 级 测评 ; 对 信 
息 安全 产品 供应 商 提 供 的 信息 安全 产品 进行 安全 等 级 保证 的 有 效 性 测评 。 

6. 信息 安全 产品 供应 商 

获得 国家 主管 机 构 批 准 的 信息 安全 产品 的 生产 和 销售 的 法 人 单位 按照 国家 信息 安全 等 
级 保护 的 管理 规范 和 技术 标准 开发 符合 等 级 保护 相关 要 求 的 信息 安全 产品 ,接受 安全 等 级 
测评 机 构 的 检测 ; 按照 等 级 保护 相关 要 求 销售 信息 安全 产品 并 提供 售后 服务 。 

4.2.3.3 实施 流程 


实施 信息 系统 安全 等 级 保护 的 基本 流程 如 图 4. 2 所 示 。 
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图 4.2 信息 系统 安全 等 级 保护 实施 的 基本 流程 


在 安全 运行 与 维护 阶段 ,信息 系统 因 需 求 变 化 等 原因 导致 局 部 调整 ,但 信息 系统 的 安全 
保护 等 级 并 未 改变 ,此 时 应 从 安全 运行 与 维护 阶段 返回 到 安全 设计 与 实施 阶段 ,对 已 设计 的 
安全 措施 进行 调整 然后 予以 实施 ,确保 满足 信息 系统 局 部 调整 后 的 安全 等 级 保护 的 要 求 
如 信息 系统 发 生 重大 变更 导致 其 安全 保护 等 级 变化 时 ,应 从 安全 运行 与 维护 阶段 返回 到 信 
息 系统 定 级 阶段 ,开始 新 一 轮 信息 安全 等 级 保护 的 实施 过 程 。 

1. 信息 系统 定 级 

信息 系统 定 级 阶段 的 目标 是 信息 系统 运营 、 使 用 单位 按照 国家 有 关 管 理 规范 和 《信息 系 
统 安全 等 级 保护 指南 》 确 定 信息 系统 的 安全 保护 等 级 ,并 按 规 定 报 有 关 部 门 备案 或 审核 
批准 。 

1) 实施 信息 系统 定 级 

信息 系统 定 级 阶段 的 工作 流程 如 图 4. 3 所 示 。 


输入 上 要 过 各 输出 
信息 系统 立项 文科 信息 系统 总 体 描述 文件 
信息 系统 建设 文档 “| Ara 入 息 系统 详细 描述 文件 
信息 系统 管理 文档 | 信息 系统 分 析 下 一 一 一 
有 
信息 系统 总 体 描述 文件 信息 系统 安全 保护 等级 
信息 系统 详细 描述 文件 上 二 ;安全 保护 等 级 确定 定 级 报告 
ae 


图 4.3 信息 系统 定 级 阶段 的 工作 流程 


需要 注意 的 是 ,这 一 阶段 的 工作 流程 与 图 4. 1( 确 定 信息 系统 安全 保护 等 级 的 一 般 流 
程 ) 不 是 一 回 事 ,前 者 (图 4. 3) 说 明 具体 的 定 级 实务 操作 ,后 者 (图 4. 1) 说 明定 级 阶段 中 在 
“安全 保护 等 级 确定 ”这 一 步骤 中 使 用 的 方法 ,两 者 不 可 混淆 。 

2) 信息 系统 分 析 

(1) 系统 识别 和 描述 

@ 活动 目标 : 本 阶段 活动 的 目标 是 通过 从 信息 系统 运营 \ 使 用 单位 相关 人 员 处 收集 有 
关 信息 系统 的 信息 ,并 对 收集 的 信息 进行 整理 和 综合 分 析 ,依据 整理 和 分 析 的 内 容 形 成 组 织 
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机 构 内 信息 系统 的 总 体 描述 性 文档 。 
@ 参与 角色 : 信息 系统 运营 \ 使 用 单位 ,信息 安全 服务 机 构 。 
@ 活动 输入 : 信息 系统 的 立项 、 建 设 和 管理 文档 。 
@ 活动 描述 : 本 活动 主要 包括 以 下 子 项 内 容 。 
。 识别 信息 系统 的 基本 信息 : 调查 了 解 信 息 系统 的 行业 特征 、 主 管 机 构 、 业 务 范 围 . 地 
理 位 置 以 及 信息 系统 构成 的 基本 情况 ,获得 信息 系统 的 背景 信息 。 
识别 信息 系统 的 管理 框架 : 了 解 信息 系统 所 在 组 织 的 管理 结构 ,管理 策略 、 部 门 设 
置 和 部 门 在 业务 运行 中 的 作用 、 岗 位 职责 ,获得 支持 信息 系统 业务 运营 的 管理 特征 
和 管理 框架 方面 的 信息 ,从 而 明确 信息 系统 的 安全 责任 主体 。 
。 识别 信息 系统 的 网 络 及 设备 部 署 : 了 解 信息 系统 的 物理 环境 、 网 络 拓扑 结构 和 硬件 
设备 的 部 署 情况 ,在 此 基础 上 明确 信息 系统 的 边界 , 即 确定 定 级 对 象 及 其 范围 。 
识别 信息 系统 的 业务 种 类 和 特性 : 了 解 机 构 内 主要 依靠 信息 系统 处 理 的 业务 的 种 
类 和 数量 ,以 及 这 些 业务 各 自 的 社会 属性 .业务 内 容 和 业务 流程 等 ,明确 支持 机 构 业 
务 运营 的 信息 系统 的 业务 特性 ,将 承载 比较 单一 的 业务 应 用 或 者 承载 相对 独立 的 业 
务 应 用 的 信息 系统 作为 单独 的 定 级 对 象 。 
。 识别 业务 系统 处 理 的 信息 资产 : 了 解 业务 系统 处 理 的 信息 资产 的 类 型 ,以 及 这 些 信 
息 资产 在 保密 性 、 完 整 性 和 可 用 性 等 方面 的 重要 程度 。 
识别 用 户 范围 和 用 户 类 型 : 根据 用 户 或 用 户 群 的 分 布 范围 了 解 业务 系统 的 服务 范 
围 . 作 用 以 及 业务 连续 性 方面 的 要 求 等 。 
。 信息 系统 描述 : 对 收集 的 信息 进行 整理 ,分 析 , 形 成 对 信息 系统 的 总 体 描述 文件 。 
一 个 典型 的 信息 系统 的 总 体 描述 文件 应 包含 以 下 内 容 。 
一 系统 概述 ; 
一 系统 边界 描述 ; 
一 网络 拓 扑 ; 
一 设备 部 署 ; 
一 支撑 的 业务 应 用 的 种 类 和 特性 ; 
-处理 的 信息 ; 
一 用 户 的 范围 和 用 户 类 型 ; 
一 信息 系统 的 管理 框架 。 
活动 输出 : 信息 系统 总 体 描述 文件 。 
(2) 信息 系统 的 划分 
@ 活动 目标 : 本 阶段 活动 的 目标 是 依据 信息 系统 的 总 体 描述 文件 在 综合 分 析 的 基础 
上 将 组 织 机 构 内 运行 的 信息 系统 进行 合理 分 解 , 确 定 所 包含 的 可 以 作为 定 级 对 象 的 信息 系 
统 的 个 数 。 
@ 参与 角色 : 信息 系统 运营 使 用 单位 .信息 安全 服务 机 构 。 
@ 活动 输入 : 信息 系统 总 体 描述 文件 。 
@ 活动 描述 : 本 活动 主要 包括 以 下 子 项 内 容 。 
。 子 系统 划分 方法 的 选择 : 一 个 组 织 机 构 可 能 运行 一 个 大 型 信息 系统 ,为 了 突出 重点 
保护 的 等 级 保护 原则 ,应 对 大 型 信息 系统 进行 划分 ,进行 信息 系统 划分 的 方法 有 多 
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种 ,可 以 考虑 管理 机 构 、 业 务 类 型 ,物理 位 置 等 因素 ,信息 系统 的 运营 、 使 用 单位 应 该 
根据 本 单位 的 具体 情况 确定 系统 的 划分 原则 。 

。 信息 子 系统 的 划分 : 依据 选择 的 子 系统 划分 原则 ,将 一 个 组 织 机 构 内 拥有 的 大 型 信 
息 系统 进行 划分 ,划分 出 相对 独立 的 信息 子 系统 并 作为 定 级 对 象 ,应 保证 每 个 相对 
独立 的 信息 子 系统 具备 定 级 对 象 的 基本 特征 。 在 划分 信息 系统 的 过 程 中 ,应 该 首先 
考虑 组 织 管理 的 要 素 ,然后 考虑 业务 类 型 .物理 区 域 等 要 素 。 

。 信息 系统 的 详细 描述 : 在 对 信息 系统 进行 划分 并 确定 定 级 对 象 后 ,应 在 信息 系统 总 
体 描述 文件 的 基础 上 进一步 增加 信息 系统 划分 信息 的 描述 ,准确 地 描述 一 个 大 型 信 
息 系 统 中 包括 的 定 级 对 象 的 个 数 。 

进一步 的 信息 系统 详细 描述 文件 应 包含 以 下 内 容 : 

一 相对 独立 的 信息 子 系统 列表 ; 

一 每 个 定 级 对 象 (大 型 信息 系统 中 相对 独立 的 信息 子 系统 ,下 同 ) 的 概述 ， 

一 每 个 定 级 对 象 的 边界 ; 

一 每 个 定 级 对 象 的 设备 部 署 ; 

=- 每 个 定 级 对 象 支撑 的 业务 应 用 及 其 处 理 的 信息 资产 类 型 ; 

- 每 个 定 级 对 象 的 服务 范围 和 用 户 类 型 ; 

一 其 他 应 该 描述 的 内 容 。 

活动 输出 : 信息 系统 详细 描述 文件 。 

3) 安全 保护 等 级 确定 

(1) 定 级 .审核 和 批准 

@ 活动 目标 : 本 阶段 活动 的 目标 是 按照 国家 有 关 管 理 规范 和 《信息 安全 等 级 保护 的 定 

级 指南 》(GB/T 22240 一 2008) 确 定 信息 系统 的 安全 保护 等 级 ,并 对 定 级 结果 进行 审核 和 批 
准 , 保 证 定 级 结果 的 准确 性 和 合法 性 。 

@ 参与 角色 : 信息 系统 主管 部 门 ,信息 系统 运营 、 使 用 单位 ,信息 安全 服务 机 构 。 

@ 活动 输入 : 信息 系统 总 体 描述 文件 、 信 息 系统 详细 描述 文件 。 

@ 活动 描述 : 本 活动 主要 包括 以 下 子 项 内 容 。 

。 初步 确定 信息 系统 安全 保护 等 级 : 根据 国家 有 关 管 理 规范 和 《信息 安全 等 级 保护 的 
定 级 指南 》(GB/T 22240 一 2008) 确 定 的 定 级 方法 ,信息 系统 运营 、 使 用 单位 对 每 个 
定 级 对 象 确定 初步 的 安全 保护 等 级 。 

。 定 级 结果 审核 和 批准 : 信息 系统 运营 、 使 用 单位 初步 确定 了 安全 保护 等 级 后 ,有 主 
管 部 门 的 ,应 当 经 主管 部 门 审核 批准 ; 跨 省 或 者 全 国 统一 联网 运行 的 信息 系统 可 以 
由 主管 部 门 统一 确定 安全 保护 等 级 ; 对 拟 确定 为 第 四 级 以 上 信息 系统 的 ,运营 使 用 
单位 或 者 主管 部 门 应 当 邀 请 国家 信息 安全 保护 等 级 专家 评审 委员 会 评审 。 

活动 输出 : 信息 系统 定 级 评审 意见 。 

(2) 形成 定 级 报告 

@ 活动 目标 : 本 阶段 活动 的 目标 是 对 定 级 过 程 中 产生 的 文档 进行 整理 ,形成 信息 系统 

定 级 结果 报告 。 
@ 参与 角色 : 信息 系统 主管 部 门 ,信息 系统 运营 、 使 用 单位 。 
@ 活动 输入 : 信息 系统 总 体 描述 文件 \ 信 息 系统 详细 描述 文件 \ 信 息 系统 定 级 结果 。 
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@ 活动 描述 : 对 信息 系统 的 总 体 描 述 文档 、 信 息 系统 的 详细 描述 文件 .信息 系统 安全 
保护 等 级 定 级 结果 等 内 容 进行 整理 ,形成 文件 化 的 信息 系统 定 级 结果 报告 。 

信息 系统 定 级 结果 报告 可 以 包含 以 下 内 容 : 

。 单 位 信息 化 现状 概述 ; 
管理 模式 ; 

。 定 级 对 象 (信息 系统 ) 列 表 ; 

。 每 个 信息 系统 的 概述 ; 

。 每 个 信息 系统 的 边界 ; 

。 每 个 信息 系统 的 设备 部 署 ; 

。 每 个 信息 系统 支撑 的 业务 应 用 

。 信息 系统 列表 、 安 全 保护 等 级 以 及 保护 要 求 的 组 合 ; 

。 其 他 应 该 描述 的 内 容 。 

2. 总 体 安全 规划 

1) 总 体 安全 规划 阶段 的 工作 流程 

总 体 安 全 规划 阶段 的 目标 是 根据 信息 系统 的 划分 情况 、 信 息 系统 的 定 级 情况 、 信 息 系统 
承载 的 业务 情况 ,通过 分 析 明 确信 息 系统 安全 需求 ,设计 合理 的 、 满 足 等 级 保护 要 求 的 总 体 
安全 方案 ,并 制定 出 安全 实施 计划 ,以 指导 后 续 的 信息 系统 安全 建设 工程 实施 。 对 于 已 运营 
(运行 ) 的 信息 系统 ,安全 需求 分 析 应 当 首 先 分 析 判 断 信 息 系 统 的 安全 保护 现状 与 等 级 保护 


要 求 之 间 的 差距 。 
总 体 安全 规划 阶段 的 工作 流程 见 图 4. 4。 
输入 EE 要 过 程 输出 


统 详细 描述 文件 
时 


”| 妇 全 需求 分 析 报告 


息 系统 详细 描述 文件 
系统 安全 全 ;等 级 证 级 报告 pp 
统 安全 等 级 保护 基本 要 求 三 一 站 。 总 体 安全 设计 | ， “信息 系 统 安全 习 休 力 末 
安全 需求 分 析 报告 


雪 息 系统 安全 总 体 方 中 2 区 下 
的 广 一 去 全 建设 硕 目 规划 “| 一。 信息 系统 安全 建设 项 目 计划 


中 长 期 发 展 规划 


图 4.4 总 体 安全 规划 阶段 的 工作 流程 


2) 安全 需求 分 析 

(1) 基本 安全 需求 的 确定 

@ 活动 目标 : 本 阶段 活动 的 目标 是 根据 信息 系统 的 安全 保护 等 级 判断 信息 系统 现 有 
的 安全 保护 水 平 与 国家 等 级 保护 管理 规范 和 技术 标准 之 间 的 差距 ,提出 信息 系统 的 基本 安 
全 保护 需求 。 
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@ 参与 角色 : 信息 系统 运营 、 使 用 单位 ,信息 安全 服务 机 构 ,信息 安全 等 级 测评 机 构 。 
@ 活动 输入 : 信息 系统 详细 描述 文件 、 信 息 系 统 安全 保护 等 级 定 级 报告 .信息 系统 相 
关 的 其 他 文档 信息 系 统 安全 等 级 保护 基本 要 求 。 
@ 活动 描述 : 本 活动 主要 包括 以 下 子 项 内 容 。 
。 确定 系统 范围 和 分 析 对 象 : 明确 不 同安 全 保护 等 级 信息 系统 的 范围 和 边界 ,通过 调 
查 或 查阅 资料 的 方式 了 解 信息 系统 的 构成 ,包括 网 络 拓扑 `. 业 务 应 用 .业务 流程 、 设 
备 信息 、 安 全 措施 状况 等 ,初步 确定 每 个 需要 保护 的 信息 系统 内 的 分 析 对 象 ,包括 整 
体 对 象 ,例如 机 房 . 办 公 环 境 、 网 络 等 ,也 包括 具体 对 象 ,例如 边界 设备 ,网 关 设 备 、 服 
务 器 设备 .工作 站 应 用 系统 等 。 
。 形成 评价 指标 和 评估 方案 : 根据 对 各 个 信息 系统 已 确定 的 安全 保护 等 级 从 信息 系 
统 安全 保护 等 级 评价 指标 体系 ( 即 根据 本 单位 业务 信息 特点 和 系统 服务 特点 对 业务 
信息 和 系统 服务 受 破坏 的 客体 以 及 客体 受 危害 的 程度 设计 出 的 与 相应 安全 保护 等 
级 具有 对 应 性 的 具体 评价 指标 的 一 个 集合 ) 中 选择 相应 等 级 的 评价 指标 ,根据 评价 
指标 结合 确定 的 具体 对 象 制定 可 以 操作 的 评估 方案 ,评估 方案 可 以 包含 以 下 内 容 。 
管理 状况 评估 表 ; 
网 络 状况 评估 表 ; 
网 络 设备 ( 含 安全 设备 ) 评 估 表 ; 
主机 设备 评估 表 ; 
主要 设备 安全 测试 方案 ; 
重要 操作 的 作业 指导 书 。 
。 现状 与 评价 指标 对 比 : 通过 考察 现场 .询问 人 员 ,查询 资料 ,检查 记录 检查 配置 , 技 
术 测 试 .渗透 攻击 等 方式 进行 安全 技术 和 安全 管理 方面 的 评估 ,判断 安全 技术 和 安 
全 管理 的 各 个 方面 与 评价 指标 的 符合 程度 ,给 出 判断 结论 , 依 此 确定 信息 系统 安全 
保护 的 基本 需求 。 
活动 输出 : 基本 安全 需求 。 
(2) 额外 /特殊 安全 需求 的 确定 
@ 活动 目标 : 本 阶段 活动 的 目标 是 通过 对 信息 系统 重要 资产 特殊 保护 要 求 的 分 析 确 
定 超出 相应 等 级 保护 基本 要 求 的 部 分 或 具有 特殊 安全 保护 要 求 的 部 分 ,采用 需求 分 析 和 残 
留 风 险 分 析 相 结合 的 方法 确定 可 能 存在 的 安全 风险 ,判断 对 超出 等 级 保护 基本 要 求 部 分 实 
施 特殊 安全 措施 的 必要 性 ,提出 信息 系统 的 特殊 安全 保护 需求 。 
@ 参与 角色 : 信息 系统 运营 、 使 用 单位 ,信息 安全 服务 机 构 。 
@ 活动 输入 : 信息 系统 详细 描述 文件 、 信 息 系 统 安全 保护 等 级 定 级 报告 .信息 系统 相 
关 的 其 他 文档 。 
@ 活动 描述 : 确定 特殊 安全 需求 可 以 采用 目前 成 熟 或 流行 的 需求 分 析 和 残留 风险 分 
析 方 法 ,或 者 采用 下 面 的 步骤 。 
。 确定 重要 资产 的 分 布 : 明确 信息 系统 的 重要 或 关键 部 件 ,例如 边界 设备 网关 设 备 、 
核心 网 络 设备 .重要 服务 器 设备 .重要 应 用 系统 等 。 
。 评估 重要 资产 的 安全 弱点 : 检查 或 判断 上 述 重要 部 件 可 能 存在 的 脆弱 点 ,包括 技术 
上 和 管理 上 的 脆弱 点 ; 分 析 安全 脆弱 点 被 利用 的 可 能 性 。 
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。 评估 重要 资产 面临 的 威胁 : 分 析 和 判断 上 述 重要 部 件 的 脆弱 性 可 能 面临 的 威胁 , 包 
括 来 自 外 部 的 威胁 和 来 自 内 部 的 威胁 ,研判 威胁 发 生 的 可 能 性 或 概率 。 
。 综合 风险 分 析 : 分 析 威 胁 利用 脆弱 点 可 能 产生 的 结果 ,结果 造成 的 损害 或 影响 的 大 
小 ,以 及 避免 上 述 结果 产生 的 可 能 性 、 必 要 性 和 经 济 性 ,按照 重要 资产 的 排序 和 风险 
的 排序 确定 特殊 安全 保护 的 要 求 。 
活动 输出 : 重要 资产 的 特殊 保护 要 求 。 
(3) 形成 安全 需求 分 析 报 告 
Oa 活动 目标 : 本 阶段 活动 的 目标 是 总 结 基 本 安全 需求 和 特殊 安全 需求 ,形成 安全 需求 
分 析 报 告 。 

@ 参与 角色 : 信息 系统 运营 、 使 用 单位 ,信息 安全 服务 机 构 。 

@ 活动 输入 : 信息 系统 详细 描述 文件 .信息 系 统 安全 保护 等 级 定 级 报告 .基本 安全 需 
求 、 重 要 资产 的 特殊 保护 要 求 。 

@ 活动 描述 : 本 活动 主要 包括 以 下 内 容 。 

完成 安全 需求 分 析 报 告 , 即 根据 基本 安全 需求 和 特殊 的 安全 保护 需求 等 形成 安全 需求 
分 析 报 告 。 安 全 需求 分 析 报 告 可 以 包含 以 下 内 容 : 
信息 系统 描述 ; 
安全 管理 状况 ; 
安全 技术 状况 ; 
存在 的 不 足 和 可 能 的 风险 ; 
安全 需求 描述 。 
活动 输出 : 安全 需求 分 析 报 告 。 
3) 总 体 安 全 设计 
(1) 总 体 安 全 战略 设计 
@ 活动 目标 : 本 阶段 活动 的 目标 是 形成 组 织 机 构 纲领 性 的 信息 安全 战略 文件 ,包括 确 
定安 全 目标 和 安全 方针 ,制定 安全 策略 ,以 便 结合 等 级 保护 基本 要 求 和 安全 保护 特殊 要 求 构 
建 组 织 机 构 信 息 系 统 的 安全 技术 体系 结构 和 安全 管理 体系 结构 。 

@ 参与 角色 : 信息 系统 运营 、 使 用 单位 ,信息 安全 服务 机 构 。 

@ 活动 输入 : 信息 系统 详细 描述 文件 、 信 息 系 统 安全 保护 等 级 定 级 报告 .安全 需求 分 
析 报 告 。 

@ 活动 描述 : 本 活动 主要 包括 以 下 子 活 动 内 容 。 

。 确定 信息 安全 的 总 体 目标 。 

。 确定 安全 方针 : 形成 组 织 机 构 最 高 层次 的 安全 方针 文件 , 益 明 安全 工作 的 使 命 和 意 
志 ,规定 信息 安全 责任 机 构 和 职责 ,建立 安全 工作 运行 模式 等 。 

。 制定 安全 策略 : 形成 机 构 高 层次 的 安全 策略 文件 ,说 明 安全 工作 的 主要 策略 ,包括 
安全 组 织 机 构 划 分 策略 、 业 务 系统 分 级 策略 数据 信息 分 级 策略 、 子 系统 互 连 策略 、 
信息 流 控制 策略 等 。 

活动 输出 : 总 体 安全 战略 文件 。 

(2) 安全 技术 体系 结构 设计 

a 活动 目标 : 本 阶段 活动 的 目标 是 根据 信息 系统 安全 等 级 保护 基本 要 求 、 安 全 需求 分 
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` 机 构 总 体 安全 战略 文件 等 提出 系统 需要 实现 的 安全 技术 措施 ,形成 机 构 特定 的 系统 


安全 技术 体系 结构 ,用 于 指导 信息 系统 分 等 级 保护 的 具体 实现 。 


@ 
© 
析 报 告 
@ 


参与 角色 : 信息 系统 运营 、 使 用 单位 ,信息 安全 服务 机 构 。 
活动 输入 : 信息 系统 详细 描述 文件 、 信 息 系统 安全 保护 等 级 定 级 报告 ,安全 需求 分 


\ 机 构 总 体 安全 战略 文件 .信息 系统 安全 等 级 保护 基本 要 求 。 


活动 描述 : 本 活动 主要 包括 以 下 子 项 内 容 。 

规定 骨干 网 / 城 域 网 的 安全 保护 技术 措施 : 根据 机 构 总 体 安全 战略 文件 .等 级 保护 
基本 要 求 和 安全 需求 提出 骨干 网 / 城 域 网 的 安全 保护 策略 和 安全 技术 措施 。 在 提出 
骨干 网 / 城 域 网 的 安全 保护 策略 和 安全 技术 措施 时 应 考虑 网 络 线路 和 网 络 设备 共享 
的 情况 ,如果 不 同 级 别 的 子 系统 通过 骨干 网 / 城 域 网 的 同一 线路 和 设备 传输 数据 , 线 
路 和 设备 的 安全 保护 策略 和 安全 技术 措施 应 满足 最 高 级 别 子 系统 的 等 级 保护 基本 
要 求 。 

规定 子 系统 之 间 互 联 的 安全 技术 保护 措施 : 根据 机 构 总 体 安全 战略 文件 ,等 级 保护 
基本 要 求 和 安全 需求 ,提出 跨 局 域 网 互联 的 子 系统 之 间 的 信息 传输 保护 策略 要 求 和 
具体 的 安全 技术 保护 措施 ,包括 同 级 互联 的 策略 、 不 同 级 别 互联 的 策略 等 ; 提出 局 
域 网 内 部 互联 的 子 系统 之 间 的 信息 传输 保护 策略 要 求 和 具体 的 安全 技术 保护 措施 ， 
包括 同 级 互联 的 策略 .不同 级 别 互联 的 策略 等 。 

规定 不 同 级 别 子 系统 的 边界 保护 技术 措施 : 根据 机 构 总 体 安全 战略 文件 ,等 级 保护 
基本 要 求 和 安全 需求 提出 不 同 级 别 子 系统 边界 的 安全 保护 策略 和 安全 技术 措施 。 
在 提出 子 系统 边界 安全 保护 策略 和 安全 技术 措施 时 应 考虑 边界 设备 共享 的 情况 ,如 
果 不 同 级 别 的 子 系统 通过 同一 设备 进行 边界 保护 ,这 个 边界 设备 的 安全 保护 策略 和 
安全 技术 保护 措施 应 满足 最 高 级 别 子 系统 的 等 级 保护 基本 要 求 。 

规定 不 同 级 别 子 系统 内 部 系统 平台 和 业务 应 用 的 安全 保护 技术 措施 : 根据 机 构 总 
体 安全 战略 文件 ,等 级 保护 基本 要 求 和 安全 需求 提出 不 同 级 别 子 系统 内 部 网 络 平 
台 、 系 统 平台 和 业务 应 用 的 安全 保护 策略 和 安全 技术 保护 措施 。 

规定 不 同 级 别 信 息 系统 机 房 的 安全 保护 技术 措施 : 根据 机 构 总 体 安全 战略 文件 ,等 
级 保护 基本 要 求 和 安全 需求 提出 不 同 级 别 信息 系 统 机 房 的 安全 保护 策略 和 安全 技 
术 保 护 措施 。 在 提出 信息 系统 机 房 安全 保护 策略 和 安全 技术 保护 措施 时 ,应 考虑 
不 同 级 别 的 信息 系统 共享 机 房 的 情况 ,如 果 不 同 级 别 的 信息 系统 共享 同一 机 房 ， 
机 房 的 安全 保护 策略 和 安全 技术 措施 应 满足 最 高 级 别 信息 系统 的 等 级 保护 基本 
要 求 。 

形成 信息 系统 安全 技术 体系 结构 : 将 骨干 网 / 城 域 网 .通过 骨干 网 / 城 域 网 的 子 系统 
互联 局 域 网 内 部 的 子 系统 互联 、 子 系统 的 边界 、 子 系统 内 部 各 类 平台 、 机 房 以 及 其 
他 方面 的 安全 保护 策略 和 安全 技术 措施 进行 整理 .汇总 ,形成 信息 系统 的 安全 技术 
体系 结构 。 


活动 输出 : 形成 描述 信息 系统 安全 技术 体系 结构 的 文档 。 

(3) 整体 安全 管理 体系 结构 设计 

@ 活动 目标 : 本 阶段 活动 的 目标 是 根据 等 级 保护 基本 要 求 、 安 全 需求 分 析 报 告 、 机 构 
总 体 安 全 战略 文件 等 调整 原 有 管理 模式 和 管理 策略 , 既 从 全 局 高 度 考虑 为 每 个 等 级 信息 系 


39 
第 4 章 管理 和 组 织 机 


统制 定 统一 的 安全 管理 策略 ,又 从 每 个 信息 系统 的 实际 需求 出 发 ,选择 和 调整 具体 的 安全 管 
理 措施 ,最 后 形成 统一 的 整体 安全 管理 体系 结构 。 

@ 参与 角色 : 信息 系统 运营 、 使 用 单位 ,信息 安全 服务 机 构 。 

@g) 活动 输入 : 信息 系统 详细 描述 文件 、 信 息 系 统 安全 保护 等 级 定 级 报告 .安全 需求 分 
析 报 告 .机 构 总 体 安全 战略 文件 ,信息 系统 安全 等 级 保护 基本 要 求 。 

@ 活动 描述 : 本 活动 主要 包括 以 下 子 项 内 容 。 

。 规定 信息 安全 的 组 织 管理 体系 和 对 各 信息 系统 的 安全 管理 职责 : 根据 机 构 总 体 安 

全 战略 文件 .等 级 保护 基本 要 求 和 安全 需求 提出 机 构 的 安全 组 织 管理 机 构 框 架 ,分 
配 各 等 级 信息 系统 的 安全 管理 职责 ,制定 各 等 级 信息 系统 的 安全 管理 策略 等 。 

。 制定 各 保护 等 级 信息 系统 的 人 员 安 全 管理 策略 : 根据 机 构 总 体 安 全 战略 文件 、 等 级 
保护 基本 要 求 和 安全 需求 提出 各 等 级 信息 系统 的 管理 人 员 框架 , 分 配 各 等 级 信息 系 
统 的 管理 人 员 职 责 ,制定 各 等 级 信息 系统 的 人 员 安全 管理 策略 等 。 
制定 各 等 级 信息 系统 机 房 及 办 公 区 等 物理 环境 的 安全 管理 策略 : 根据 机 构 总 体 安 
全 战略 文件 .等 级 保护 基本 要 求 和 安全 需求 提出 各 等 级 信息 系统 的 机 房 和 办 公 环 境 
的 安全 策略 。 
制定 各 等 级 信息 系统 介质 、 设 备 等 的 安全 管理 策略 : 根据 机 构 总 体 安 全 战略 文件 、 
等 级 保护 基本 要 求 和 安全 需求 提出 各 等 级 信息 系统 的 介质 设备 等 的 安全 策略 。 
制定 各 等 级 信息 系统 运行 安全 管理 策略 : 根据 机 构 总 体 安 全 战略 文件 ,等 级 保护 基 
本 要 求 和 安全 需求 提出 各 等 级 信息 系统 的 安全 运行 与 维护 框架 和 运 维 安全 策略 等 。 
制定 各 等 级 信息 系统 安全 事件 处 置 和 应 急 管理 策略 : 根据 机 构 总 体 安全 战略 文件 、 
等 级 保护 基本 要 求 和 安全 需求 提出 各 等 级 信息 系统 的 安全 事件 处 置 和 应 急 管 理 策 
略 等 。 
形成 信息 系统 安全 管理 策略 框架 : 将 上 述 各 个 方面 的 安全 管理 策略 进行 整理 、 汇 
总 ,形成 信息 系统 的 整体 安全 管理 体系 结构 。 

活动 输出 : 形成 描述 信息 系统 安全 管理 体系 结构 的 文档 。 

(4) 设计 结果 文档 化 

@ 活动 目标 : 本 阶段 活动 的 目标 是 将 总 体 安全 设计 工作 的 结果 文档 化 ,最 后 形成 一 套 
指导 机 构 信 息 安全 工作 的 指导 性 文件 。 

@ 参与 角色 : 信息 系统 运营 、 使 用 单位 ,信息 安全 服务 机 构 。 

@ 活动 输入 : 安全 需求 分 析 报 告 , 信 息 系统 安全 技术 体系 结构 、 信 息 系 统 安全 管理 体 
系 结构 。 

@ 活动 描述 : 对 安全 需求 分 析 报告 .信息 系统 安全 技术 体系 结构 和 安全 管理 体系 结构 
等 文档 进行 整理 ,形成 信息 系统 总 体 安全 方案 。 

信息 系统 总 体 安全 方案 包含 以 下 内 容 : 

。 信息 系统 概述 ; 

。 总 体 安全 战略 ; 

。 信息 系统 安全 技术 体系 结构 ; 

。 信息 系统 安全 管理 体系 结构 。 

活动 输出 : 信息 系统 安全 总 体 方案 。 


息 安 全 管理 概论 


4) 安全 建设 项 目 规划 
(1) 安全 建设 目标 的 确定 
@ 活动 目标 : 本 阶段 活动 的 目标 是 依据 信息 系统 安全 总 体 方案 (由 一 个 或 多 个 文件 构 
成 ) ,机 构 或 单位 信息 化 建设 的 中 长 期 发 展 规划 和 机 构 的 安全 建设 资金 状况 确定 各 阶段 的 安 
全 建设 目标 。 
@ 参与 角色 : 信息 系统 运营 使 用 单位 ,信息 安全 服务 机 构 。 
@ 活动 输入 : 信息 系统 安全 总 体 方案 、 机 构 或 单位 信息 化 建设 的 中 长 期 发 展 规划 。 
@ 活动 描述 : 本 阶段 活动 主要 包括 以 下 子 项 内 容 。 
。 信息 化 建设 中 长 期 发 展 规划 和 安全 需求 调查 : 了 解 和 调查 单位 信息 化 建设 的 现 况 、 
中 长 期 信息 化 建设 的 目标 .主管 部 门 对 信息 化 的 资源 投入 ,对 比 信息 化 建设 过 程 中 
阶段 状态 与 安全 战略 规划 之 间 的 差距 ,分 析 急 迫 和 关键 的 安全 问题 ,考虑 可 以 同步 
进行 的 安全 建设 内 容 等 。 
。 提 出 信息 系统 安全 建设 分 阶段 目标 : 制定 系统 在 规划 期 内 (一 般 安全 规划 期 为 3 年 ) 
所 要 实现 的 总 体 安全 目标 ; 制定 系统 短期 (1 年 以 内 ) 要 实现 的 安全 目标 ,主要 解决 
目前 急迫 和 关键 的 问题 ,争取 在 短期 内 安全 状况 有 大 幅度 提高 。 
活动 输出 : 信息 系统 分 阶段 安全 建设 目标 。 
(2) 安全 建设 内 容 规划 
活动 目标 : 本 阶段 活动 的 目标 是 根据 安全 建设 目标 和 信息 系统 安全 总 体 方案 的 要 求 设 
计 分 期 分 批 的 主要 建设 内 容 , 并 将 建设 内 容 组 合成 不 同 的 项 目 ,阐明 项 目 之 间 的 依赖 或 促进 
参与 角色 : 信息 系统 运营 、 使 用 单位 ,信息 安全 服务 机 构 。 
活动 输入 : 信息 系统 安全 总 体 方案 、 信 息 系 统 分 阶段 安全 建设 目标 。 
活动 描述 : 本 活动 主要 包括 以 下 子 项 内 容 。 
确定 主要 安全 建设 内 容 : 根据 信息 系统 安全 总 体 方案 明确 主要 的 安全 建设 内 容 , 并 
将 其 进行 适当 的 分 解 。 其 主要 的 安全 建设 内 容 可 以 分 解 为 (但 不 限于 ) 以 下 内 容 : 
=- 安全 基础 设施 建设 ; 
一 网络 安 全 建设 ; 
一 系统 平台 和 应 用 平台 安全 建设 ; 
-数据 系统 安全 建设 ; 
一 安全 标准 体系 建设 ; 
一 人 才 培 养 体系 建设 ; 
一 安全 管理 体系 建设 。 
确定 主要 安全 建设 项 目 : 将 安全 建设 内 容 转化 为 不 同 的 安全 建设 项 目 , 描 述 项 目 所 
要 解决 的 主要 安全 问题 及 所 要 达到 的 安全 目标 ,对 项 目 进行 支持 或 依赖 等 关联 性 分 
析 , 对 项 目 进 行 紧迫 性 分 析 , 对 项 目 进行 实施 难 易 程 度 分 析 , 对 项 目 进 行 预期 效果 ( 包 
括 实 施 风险 ) 分 析 , 描 述 项 目的 具体 工作 内 容 、 建 设 方案 ,形成 安全 建设 项 目 列表 。 
活动 输出 : 安全 建设 项 目 列表 ( 含 安全 建设 内 容 ) 。 
(3) 形成 安全 建设 项 目 计划 
活动 目标 : 本 阶段 活动 的 目标 是 根据 建设 目标 和 建设 内 容 在 时 间 和 经 费 上 对 安全 建设 
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项 目 列表 进行 总 体 考虑 ,分 配 到 不 同 的 时 期 和 阶段 ,设计 建设 顺序 ,进行 投资 估算 ,形成 安全 
建设 项 目 计划 。 

参与 角色 : 信息 系统 运营 、 使 用 单位 ,信息 安全 服务 机 构 。 

活动 输入 : 信息 系统 安全 总 体 方案 .信息 系统 分 阶段 安全 建设 目标 、 安 全 建设 内 容 等 。 

活动 描述 : 对 信息 系统 分 阶段 安全 建设 目标 .安全 总 体 方案 和 安全 建设 内 容 等 文档 进 
行 整理 ,形成 信息 系统 安全 建设 项 目 计 划 。 

安全 建设 项 目 计划 可 包含 以 下 内 容 : 

。 规划 建设 的 依据 和 原则 ; 

。 规划 建设 的 目标 和 范围 ; 

。 信息 系 统 安全 现状 ; 

。 信息 化 的 中 长 期 发 展 规划 ; 

。 信息 系统 安全 建设 的 总 体 框架 ; 

。 安全 技术 体系 建设 规划 ; 

。 安全 管理 与 安全 保障 体系 建设 规划 ; 

。 安全 建设 投资 估算 ; 

。 信息 系统 安全 建设 的 实施 保障 等 内 容 。 

活动 输出 : 信息 系统 安全 建设 项 目 计划 。 

3. 安全 设计 与 实施 

1) 安全 设计 与 实施 阶段 的 工作 流程 

安全 设计 与 实施 阶段 的 目标 是 按照 信息 系统 安全 总 体 方案 的 要 求 结 合 信息 系统 安全 建 
设 项 目 计 划分 期 分 步 落实 安全 措施 。 

安全 设计 与 实施 阶段 的 工作 流程 见 图 4. 5。 

输入 主要 过 程 输出 
信息 系统 安全 总 体 方案 
信息 系统 安全 建设 项 目 计划 安全 方案 


各 类 信息 技术 产品 详细 设计 
技术 白皮书 


从 下 安平 分 天 全 全 有 
人 祝 县 安全 产品 硕 管 理 制度 
安全 详细 采购 清单 操作 规范 
设计 方案 站 | 施 实现 安全 控制 集成 报告 系统 技术 建设 
过 程 文档 

系统 验收 报告 


4.5 安全 设计 与 实施 流程 图 


2) 安全 方案 详细 设计 

(1) 技术 措施 实现 内 容 设计 

活动 目标 : 本 阶段 活动 的 目标 是 根据 建设 目标 和 建设 内 容 将 信息 系统 安全 总 体 方案 中 
要 求实 现 的 安全 策略 .安全 技术 体系 结构 、 安 全 措施 和 要 求 落 实 到 产品 功能 或 物理 形态 上 ， 
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提出 能 够 实现 的 产品 或 组 件 及 其 具体 规范 ,并 将 产品 功能 特征 整理 成 文档 ,使 得 在 信息 安全 
产品 采购 和 安全 控制 开发 阶段 有 据 可 依 。 

参与 角色 : 信息 系统 运营 、 使 用 单位 ,信息 安全 服务 机 构 ,信息 安全 产品 供应 商 。 

活动 输入 : 信息 系统 安全 总 体 方案 .信息 系统 安全 建设 项 目 计划 、 各 类 信息 技术 产品 和 

信息 安全 产品 技术 白皮书 。 

活动 描述 : 本 活动 主要 包括 以 下 子 项 内 容 。 

。 结构 框架 设计 : 依据 本 次 实施 项 目的 建设 内 容 和 信息 系统 的 实际 情况 给 出 与 总 体 
安全 规划 阶段 的 安全 体系 结构 一 致 的 安全 实现 技术 框架 ,内 容 可 能 包括 安全 防护 的 
层次 .信息 安全 产品 的 使 用 、 网 络 子 系统 的 划分 .IP 地 址 的 规划 等 内 容 。 

。 功能 /性 能 要 求 设计 : 对 安全 实现 技术 框架 中 使 用 到 的 相关 信息 安全 产品 ,例如 防 
火 墙 ` VPN 网 疗 、 认 证 网 关 、 代 理 服务 器 、 网 络 防 病毒 .PKI 等 提出 功能 /性 能 指标 要 
求 ,对 需要 开发 的 安全 控制 组 件 提出 功能 /性 能 指标 要 求 。 

。 部 署 方案 设计 : 结合 目前 信息 系统 网 络 拓扑 以 图 示 的 方式 给 出 安全 技术 实现 框架 
的 实现 方式 ,包括 信息 安全 产品 或 安全 组 件 的 部 署 位 置 .连接 方式 IP 地 址 分 配 等 ， 
对 于 需 对 原 有 网 络 进行 调整 的 ,给 出 网 络 调整 的 图 示 方 案 等 。 

。 制定 安全 策略 实现 计划 : 依据 信息 系统 安全 总 体 方案 中 提出 的 安全 策略 的 要 求 制 
定 设计 和 设置 信息 安全 产品 或 安全 组 件 的 安全 策略 实现 计划 。 

活动 输出 : 技术 措施 落实 方案 。 

(2) 管理 措施 实现 内 容 设 计 

活动 目标 : 本 阶段 活动 的 目标 是 根据 机 构 当前 安全 管理 需要 和 安全 技术 保障 需要 提出 

与 信息 系统 安全 总 体 方案 中 管理 部 分 相 适 应 的 本 期 安全 管理 的 实施 内 容 , 以 保证 在 安全 技 
术 保 护 措 施 建设 的 同时 同步 实现 安全 管理 措施 。 

参与 角色 : 信息 系统 运营 、 使 用 单位 ,信息 安全 服务 机 构 。 

活动 输入 : 信息 系统 安全 总 体 方案 、 信 息 系统 安全 建设 项 目 计划 。 

活动 描述 : 结合 系统 实际 安全 管理 需要 和 本 次 技术 建设 内 容 确定 本 次 安全 管理 建设 的 

范围 和 内 容 , 同 时 注意 与 信息 系统 安全 总 体 方案 的 一 致 性 。 安 全 管理 设计 的 内 容 主 要 考虑 
安全 管理 机 构 和 人 员 的 配套 、 安 全 管理 制度 的 配套 .人 员 安 全 管理 技能 的 配套 等 。 

活动 输出 : 管理 措施 落实 方案 。 

(3) 设计 结果 文档 化 

活动 目标 : 本 阶段 活动 的 目标 是 将 技术 措施 落实 方案 .管理 措施 落实 方案 汇总 ,同时 考 

虑 工时 和 费用 ,最 后 形成 指导 安全 实施 的 指导 性 文件 。 

参与 角色 : 信息 系统 运营 、 使 用 单位 ,信息 安全 服务 机 构 。 

活动 输入 : 技术 措施 落实 方案 管理 措施 落实 方案 。 

活动 描述 : 对 技术 措施 落实 方案 中 技术 实施 内 容 和 管理 措施 落实 方案 中 管理 实施 内 容 

等 文档 进行 整理 ,形成 信息 系统 安全 建设 详细 设计 方案 。 

安全 详细 设计 方案 包含 以 下 内 容 : 

。 本 期 建设 目标 和 建设 内 容 ; 

。 技术 实现 框架 ; 

。 信息 安全 产品 或 组 件 功 能 及 性 能 ; 
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信息 安全 产品 或 组 件 部 署 ; 
安全 策略 和 配置 ; 
配套 的 安全 管理 建设 内 容 ; 
工程 实施 计划 ; 
。 项 目 投资 概算 。 
活动 输出 : 安全 详细 设计 方案 。 
3) 管理 措施 实现 
(1) 管理 机 构 和 人 员 的 设置 
活动 目标 : 本 阶段 活动 的 目标 是 建立 配套 的 安全 管理 职能 部 门 ,通过 管理 机 构 的 岗位 
设置 人员 的 分 工 以 及 各 种 资源 的 配备 为 信息 系统 的 安全 管理 提供 组 织 上 的 保障 。 
参与 角色 : 信息 系统 运营 、 使 用 单位 ,信息 安全 服务 机 构 。 
活动 输入 : 机 构 现 有 相关 管理 制度 和 政策 .安全 详细 设计 方案 。 
活动 描述 : 本 活动 主要 包括 以 下 子 活 动 内 容 。 
。 安全 组 织 的 确定 : 识别 与 信息 安全 管理 有 关 的 组 织 成 员 及 其 角色 ,例如 操作 人 员 、 
文档 管理 员 、 系 统管 理 员 安全 管理 员 等 ,形成 安全 组 织 结构 表 。 
。 角色 说 明 : 以 书面 的 形式 详细 描述 每 个 角色 与 职责 ,确保 所 有 的 风险 都 有 人 负责 。 
活动 输出 : 机 构 、 角 色 与 职责 说 明 书 。 
(2) 管理 制度 的 建立 和 修订 
活动 目标 : 本 阶段 活动 的 目标 是 建立 或 修订 与 信息 系统 安全 管理 相配 套 的 包括 所 有 信 
息 系统 的 建设 .开发 . 运 维 、 升 级 和 改造 等 各 个 阶段 和 环节 应 当 遵循 的 行为 规范 和 操作 规程 。 
参与 角色 : 信息 系统 主管 部 门 , 信 息 系统 运营 ,使 用 单位 ,信息 安全 服务 机 构 。 
活动 输入 : 安全 组 织 结构 表 、 安 全 成 员 及 角色 说 明 书 、 安 全 详细 设计 方案 。 
活动 描述 : 本 活动 主要 包括 以 下 子 项 内 容 。 
。 明确 适用 范围 : 建立 的 管理 制度 首先 要 明确 制度 的 应 用 范围 ,如 机 房管 理 、 账 户 管 
理 .远程 访问 管理 .特殊 权限 管理 .设备 管理 .变更 管理 等 方面 的 内 容 。 
。 定义 人 员 职 责 : 建立 的 管理 制度 要 明确 相关 岗位 人 员 的 责任 和 权力 范围 ,并 要 征求 
相关 人 员 的 意见 ,确保 责任 主体 明确 。 
。 规定 行为 规范 : 建立 的 管理 制度 要 通过 制度 化 ,规范 化 和 流程 化 的 行为 来 保证 各 项 
管理 工作 的 一 致 性 。 
。 评估 与 完善 : 建立 的 管理 制度 在 发 布 .执行 过 程 中 要 定期 进行 评估 ,根据 实际 运行 
环境 和 信息 系统 的 变化 对 制度 进行 修改 和 完善 ,必要 时 要 考虑 重新 制定 管理 制度 。 
活动 输出 : 各 项 管理 制度 和 操作 规范 。 
(3) 人 员 安 全 技能 培训 
活动 目标 : 本 阶段 活动 的 目标 是 对 人 员 的 职责 、 素 质 、 技 能 等 方面 进行 培训 ,保证 人 员 
具有 与 其 岗位 职责 相 适 应 的 技术 能 力 和 管理 能 力 , 以 减少 人 为 因素 给 系统 带 来 的 安全 风险 。 
参与 角色 : 信息 系统 主管 部 门 , 信 息 系统 运营 、 使 用 单位 ,信息 安全 服务 机 构 。 
活动 输入 : 系统 /产品 使 用 说 明 书 ,各 项 管理 制度 和 操作 规范 。 
活动 描述 : 针对 普通 员工 管理 员 、 开 发 人 员 、 主 管 人 员 以 及 安全 人 员 的 特定 技能 培训 
和 安全 意识 培训 ,培训 后 进行 考核 ,合格 者 发 给 上 岗 资 格 证 书 等 。 
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活动 输出 : 培训 记录 及 上 岗 资 格 证 书 等 。 
(4) 安全 实施 过 程 的 管理 
活动 目标 : 本 阶段 活动 的 目标 是 在 系统 定 级 、 规 划 设 计 、 实 施 过 程 中 对 工程 的 质量 、 进 
度 文档 和 变更 等 方面 的 工作 进行 监督 控制 和 科学 管理 。 
参与 角色 : 信息 系统 运营 、 使 用 单位 ,信息 安全 服务 机 构 ,信息 安全 产品 供应 商 。 
活动 输入 : 安全 设计 与 实施 阶段 参与 各 方 的 相关 进度 控制 和 质量 监督 要 求 文档 。 
活动 描述 : 本 活动 主要 包括 以 下 子 项 内 容 。 
。 质量 管理 : 质量 管理 首先 要 控制 系统 建设 的 质量 ,保证 系统 建设 始终 在 等 级 保护 制 
度 所 要 求 的 框架 内 进行 ,同时 还 要 保证 用 于 创建 系统 的 过 程 的 质量 。 在 系统 建设 的 
过 程 中 ,要 建立 一 个 不 断 测试 和 改进 质量 的 过 程 。 在 整个 系统 的 生命 周期 中 ,通过 
测试 .分 析 和 修正 活动 保证 所 完成 目标 和 过 程 的 质量 。 
风险 管理 : 识别 .评估 和 降低 风险 ,以 保证 系统 工程 活动 和 全 部 技术 工作 项 目 都 成 
功 实施 。 在 整个 系统 建设 过 程 中 ,风险 管理 要 贯穿 始终 。 
变更 管理 : 在 系统 建设 的 过 程 中 ,由 于 各 种 信息 系统 本 身 和 运行 环境 条 件 等 的 变化 
会 导致 变更 的 出 现 , 变 更 发 生 在 工程 的 范围 .进度 、 质 量 、 费 用 、 人 力 资源 ,沟通 ,合同 
等 多 方面 。 每 一 次 的 变更 处 理 必须 遵循 同样 的 程序 , 即 相 同 的 文字 报告 .相同 的 管 
理 办 法 、 相 同 的 监控 过 程 ,必须 确定 每 一 次 变更 对 系统 成 本 、 进 度 `. 风险 和 技术 要 求 
的 影响 ,一 旦 批准 变更 ,必须 按照 设 定 的 规程 来 执行 变更 。 
进度 管理 : 系统 建设 各 阶段 的 实施 必须 有 一 组 明确 的 可 交付 成 果 的 指标 ,同时 要 求 
有 结束 的 日 期 ,因此 在 建设 系统 的 过 程 中 必须 制订 项 目 进 度 计 划 ,绘制 路 线 图 ,将 系 
统 分 解 为 不 同 的 子 任务 ,并 进行 时 间 控 制 确保 项 目 如 期 完成 。 
文档 管理 : 文档 是 记录 项 目 整个 过 程 的 书面 资料 ,在 系统 建设 的 过 程 中 ,针对 每 个 
环节 都 有 大 量 的 文档 输出 ,文档 管理 涉及 系统 建设 的 各 个 环节 ,主要 包括 系统 定 级 、 
规划 设计 ,方案 设计 ,安全 实施 、 系 统 验 收 、 人 员 培 训 等 方面 。 
活动 输出 : 各 阶段 管理 过 程 文档 。 
4) 技术 措施 实现 
(1) 信息 安全 产品 采购 
活动 目标 : 本 阶段 活动 的 目标 是 按照 安全 详细 设计 方案 中 对 安全 产品 的 具体 功能 /性 
能 指标 要 求 ,根据 备 选 产品 或 产品 组 合 实现 的 功能 .在 满足 安全 设计 要 求 的 前 提 下 选 购 所 需 
的 信息 安全 产品 。 
参与 角色 : 信息 安全 产品 供应 商 , 信 息 系统 运营 、 使 用 单位 。 
活动 输入 : 安全 详细 设计 方案 .相关 产品 信息 。 
活动 描述 : 本 活动 主要 包括 以 下 子 项 内 容 。 
。 制定 产品 采购 说 明 书 : 信息 安全 产品 的 选 型 过 程 首先 依据 安全 详细 设计 方案 的 设 
计 要 求 制定 产品 采购 说 明 书 ,对 产品 的 采购 原则 、 采 购 范围 .指标 要 求 . 采 购 方式 、 采 
购 流 程 等 方面 进行 说 明 , 然 后 依据 产品 采购 说 明 书 对 现 有 产品 进行 比 对 和 筛选 。 对 
于 产品 的 功能 和 性 能 指标 ,可 以 依据 国家 认可 的 测试 机 构 所 出 具 的 产品 测试 报告 ， 
也 可 以 依据 用 户 自行 组 织 的 信息 安全 产品 功能 和 性 能 选 型 测试 所 出 具 的 报告 。 
。 产品 选择 : 在 依据 产品 采购 说 明 书 对 现 有 产品 进行 选择 时 ,不 仅 要 考虑 产品 的 使 用 


第 4 章 管理 和 组 织 机 | 


环境 ,安全 功能 、 成 本 (包括 采购 和 维护 成 本 )、 易 用 性 、 可 扩展 性 、 与 其 他 产品 的 互动 
和 兼容 性 等 因素 ,还 要 考虑 产品 质量 和 可 信 性 。 产 品 可 信 性 是 保证 系统 安全 的 基 
础 ,用 户 在 选择 信息 安全 产品 时 应 确保 符合 国家 关于 信息 安全 产品 使 用 的 有 关 规 
定 。 对 于 密码 产品 的 使 用 ,应 当 按 照 国家 密码 管理 的 相关 规定 进行 选择 和 使 用 。 
活动 输出 : 需 采 购 信 息 安全 产品 清单 。 
(2) 安全 设备 开发 
活动 目标 : 本 阶段 活动 的 目标 是 对 一 些 不 能 通过 采购 现 有 信息 安全 产品 来 实现 的 安全 
措施 和 安全 功能 通过 专门 的 设计 、 开 发 来 实现 。 安 全 设备 的 开发 应 当 与 系统 的 应 用 开发 同 
步 设计 同步 实 施 ,而 应 用 系统 一 旦 开发 完成 后 ,再 增加 安全 措施 或 需要 将 安全 机 制 潜入 应 
用 系统 时 会 造成 很 大 的 额外 成 本 投入 ,因此 ,在 应 用 系统 开发 的 同时 要 依据 安全 详细 设计 方 
案 进 行 安全 技术 或 机 制 的 开发 设计 ,保证 系统 应 用 与 安全 设备 同步 建设 。 
参与 角色 : 信息 系统 运营 、 使 用 单位 ,信息 安全 服务 机 构 。 
活动 输入 : 安全 详细 设计 方案 。 
活动 描述 : 本 活动 主要 包括 以 下 子 项 内 容 。 
。 安全 措施 需求 分 析 : 以 规范 的 形式 准确 表达 安全 方案 设计 中 的 指标 要 求 , 确 定 软件 
设计 的 约束 和 软件 同 其 他 系统 相关 的 接口 细节 。 
。 概要 设计 : 概要 设计 要 考虑 安全 方案 中 关于 身份 鉴别 .访问 控制 .安全 审计 、 通 信 完 
整 性 .通信 保密 性 、 抗 抵赖 等 方面 的 指标 要 求 ,设计 安全 措施 模块 的 体系 结构 ,定义 
安全 设备 的 模块 组 成 ,定义 每 个 模块 的 主要 功能 和 模块 之 间 的 接口 。 
。 详细 设计 : 依据 概要 设计 说 明 书 将 安全 设备 开发 进一步 细 化 ,对 每 个 安全 功能 模块 
的 接口 .初始 化 参数 要 求 .各 接口 之 间 的 关系 、 各 部 分 的 内 在 实现 机 理 都 要 进行 详细 
的 分 析 和 设计 。 
按照 功能 需求 和 模块 划分 进行 各 个 部 分 的 详细 设计 ,包含 接口 设计 和 管理 方式 设计 等 。 
详细 设计 是 设计 人 员 根 据 概要 设计 书 进行 的 模块 设计 ,将 总 体 设 计 所 获得 的 模块 按照 单元 、 
程序 .过 程 的 顺序 逐步 细 化 ,详细 定义 各 个 单元 的 数据 结构 、 程 序 的 实现 算法 以 及 程序 、. 单 
元 、 模 块 之 间 的 接口 等 ,作为 以 后 编码 工作 的 依据 。 
。 编码 实现 : 按照 设计 进行 硬件 调试 和 软件 的 编码 ,在 编码 和 开发 过 程 中 要 关注 硬件 
组 合 的 安全 性 和 编码 的 安全 性 ,并 通过 论证 和 测试 。 
。 测试 : 开发 基本 完成 后 要 进行 测试 ,保证 功能 的 实现 和 安全 性 的 实现 。 测 试 分 为 单 
元 测试 集成 测试 .系统 测试 和 以 用 户 试用 为 主 的 用 户 测试 4 个 步骤 。 
。 安全 设备 开发 过 程 文档 化 : 安全 设备 开发 过 程 需 要 将 概要 设计 说 明 书 .详细 设 计 说 
明 书 、 开 发 测试 报告 以 及 开发 说 明 书 等 整理 归档 。 
活动 输出 : 安全 设备 开发 过 程 相关 文档 。 
(3) 安全 集成 
活动 目标 : 本 阶段 活动 的 目标 是 将 不 同 的 软 /硬件 产品 集成 起 来 ,依据 安全 详细 设计 方 
案 将 信息 安全 产品 、 系 统 软 件 平台 和 开发 的 安全 控制 模块 与 各 种 应 用 系统 综合 、 整 合成 为 一 
个 系统 。 安 全 控制 集成 的 过 程 需要 把 安全 实施 .风险 控制 质量 控制 等 有 机 地 结合 起 来 , 遵 
循 运营 、 使 用 单位 与 信息 安全 服务 机 构 共同 参与 .相互 配合 的 实施 原则 。 
参与 角色 : 信息 系统 运营 、 使 用 单位 ,信息 安全 服务 机 构 。 
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活动 输入 : 安全 详细 设计 方案 。 

活动 描述 : 本 活动 主要 包括 以 下 子 项 内 容 。 

。 制定 集成 实施 方案 : 主要 工作 内 容 是 制定 安全 集成 实施 方案 ,安全 集成 实施 方案 的 
目标 是 具体 指导 工程 的 建设 内 容 、 方 法 和 规范 等 ,实施 方案 有 别 于 安全 设计 方案 的 
一 个 显著 特征 就 是 它 的 可 操作 人 性 很 强 , 要 具体 落实 到 产品 的 安装 .部署 和 配置 中 , 安 
全 集成 实施 方案 是 工程 建设 的 具体 指导 文件 。 

。 实施 安全 集成 前 的 准备 : 主要 工作 内 容 是 对 实施 环境 进行 准备 ,包括 硬件 设备 准 
备 、 软 件 系统 准备 .环境 准 备 。 为 了 保证 安全 集成 系统 实施 的 质量 ,信息 安全 服务 机 
构 应 该 依据 系统 设计 方案 制定 一 套 可 行 的 系统 质量 控制 方案 ,以 便 有 效 地 指导 安全 
集成 系统 的 实施 过 程 。 该 质量 控制 方案 应 该 确定 系统 实施 各 个 阶段 的 质量 控制 目 
标 、 控 制 措施 、 工 程 质量 问题 的 处 理 流程 、 系 统 实施 人 员 的 职责 要 求 等 ,并 提供 详细 
的 安全 集成 进度 表 。 

。 安全 集成 的 实施 : 主要 工作 内 容 是 将 配置 好 策略 的 信息 安全 产品 和 模块 部 署 到 实 
际 的 应 用 环境 中 ,并 调整 相关 策略 。 安 全 集成 实施 应 严格 按照 集成 进度 安排 进行 ， 
出 现 问题 各 方 应 及 时 沟通 。 系 统 实 施 的 各 个 环节 应 该 遵照 质量 控制 方案 的 要 求 分 
别 进行 系统 测试 ,逐步 实现 质量 控制 目标 。 例 如 在 综合 布线 系统 施工 过 程 中 应 该 及 
时 利用 网 络 测试 仪 测定 线路 质量 ,及 早 发 现 并 解决 质量 问题 。 

。 培 训 : 信息 系统 建设 完成 后 ,安全 服务 提供 商 应 当 向 运营 和 使 用 单位 提供 信息 系统 
使 用 说 明 书 及 建设 过 程 文档 ,同时 需要 对 系统 维护 人 员 进 行 必 要 的 培训 ,培训 效果 
的 好 坏 将 直接 影响 到 今后 系统 能 否 安全 运行 。 

。 形 成 安全 集成 报告 : 应 将 安全 集成 过 程 相关 内 容 文档 化 ,并 形成 安全 集成 报告 ,其 
中 包含 集成 实施 方案 .质量 控制 方案 、 集 成 实施 报告 以 及 培训 考核 记录 等 内 容 。 

活动 输出 : 安全 集成 报告 。 

(4) 系统 验收 

活动 目标 : 本 阶段 活动 的 目标 是 检验 系统 是 否 严格 按照 安全 详细 设计 方案 进行 建设 ， 

是 否 实现 了 设计 的 功能 和 性 能 。 在 安全 集成 工作 完成 后 ,系统 测试 及 验收 是 从 总 体 出 发 对 
整个 系统 进行 集成 性 的 安全 测试 ,包括 对 系统 运行 效率 和 可 靠 性 的 测试 ,也 包括 对 管理 措施 
落实 内 容 的 验收 。 

参与 角色 : 信息 系统 主管 部 门 ,信息 系统 运营 、 使 用 单位 ,信息 安全 服务 机 构 。 

活动 输入 : 安全 详细 设计 方案 ,安全 控制 集成 报告 。 

活动 描述 : 本 活动 主要 包括 以 下 子 项 内 容 。 

。 集成 系统 验收 前 的 准备 : 安全 设备 开发 .集成 完成 后 要 根据 安全 设计 方案 中 需要 达 
到 的 安全 目标 准备 系统 验收 方案 。 系 统 验 收 方案 应 当 以 合同 条 款 、 需 求 说 明 书 和 安 
全 设计 方案 为 参照 依据 ,充分 体现 用 户 的 安全 需求 。 

。 成 立 系统 验收 工作 组 对 验收 方案 进行 审核 ,组 织 制定 验收 计划 、 定 义 验收 的 方法 和 
严格 程度 。 

。 组 织 系统 验收 : 由 系统 验收 工作 组 按照 验收 计划 负责 组 织 实施 ,组 织 测试 人 员 根 据 
已 通过 评审 的 系统 验收 方案 对 系统 进行 测试 。 

。 验收 报告 : 在 测试 完成 后 形成 验收 报告 ,验收 报告 需要 用 户 与 建设 方 进行 确认 。 验 
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收报 告 将 明确 给 出 验收 的 结论 (其 中 包括 需要 修改 或 改善 的 内 容 ) ,安全 服务 提供 商 
应 当 根 据 验收 意见 尽快 修正 有 关 问 题 ,重新 进行 验收 或 者 转 和 合同 争议 处 理 程序 。 
。 安全 集成 系统 交付 : 在 系统 验收 通过 以 后 要 进行 系统 的 交付 ,需要 安全 服务 提供 商 
提交 系统 建设 过 程 中 的 文档 、 指 导 用 户 进 行 系统 运行 维护 的 文档 、 服 务 承诺 书 等 。 
活动 输出 : 安全 集成 系统 验收 报告 。 
4. 安全 运行 与 维护 
1) 安全 运行 与 维护 阶段 的 工作 流程 
安全 运行 与 维护 是 等 级 保护 实施 过 程 中 确保 信息 系统 正常 运行 的 必要 环节 ,涉及 的 内 
容 较 多 ,包括 安全 运行 与 维护 机 构 和 安全 运行 与 维护 机 制 的 建立 ,环境 、 资 产 , 设 备 、 介 质 的 
管理 ,网 络 、 业 务 应 用 系统 的 管理 ,密码 、 密 钥 的 管理 ,运行 、 变 更 的 管理 ,安全 状态 监控 和 安 
全 事件 处 置 ,安全 审计 和 安全 检查 等 内 容 。 此 处 并 不 对 上 述 所 有 管理 过 程 的 具体 操作 内 容 
和 方法 进行 描述 ,希望 全 面 了 解 和 控制 安全 运行 与 维护 阶段 各 类 过 程 中 具体 操作 内 容 和 方 
法 的 读者 可 以 参见 其 他 标准 或 指南 ,例如 GB/T 20988 一 2007《 信 息 安全 技术 ”信息 系统 灾 
难 恢复 规范 》、GB/Z 20986 一 2007《 信 息 安全 技术 ”信息 安全 事件 分 类 分 级 指南 )、GB/Z 
《20985 一 2007 信息 技术 ”安全 技术 ”信息 安全 事件 管理 指南 ) 等 ,此 处 只 对 安全 运行 和 维 
护 阶段 的 各 个 环节 的 管理 目标 和 流程 进行 描述 。 
安全 运行 与 维护 阶段 的 运行 管理 和 控制 .变更 管理 和 控制 .安全 状态 监控 .安全 事件 处 
置 和 应 急 预 案 .安全 检查 和 持续 改进 以 及 监督 检查 等 过 程 的 工作 流程 见 图 4. 6。 
2) 运行 管理 和 控制 
(1) 运行 管理 职责 的 确定 
活动 目标 : 本 阶段 活动 的 目标 是 对 运行 管理 活动 或 任务 的 角色 进行 划分 ,并 授予 相应 
的 管理 权限 ,以 此 确定 安全 运行 管理 的 具体 人 员 和 职责 。 
参与 角色 : 信息 系统 运营 、 使 用 单位 。 
活动 输入 : 安全 详细 设计 方案 、 安 全 组 织 机 构 表 。 
活动 描述 : 本 活动 主要 包括 以 下 子 项 内 容 。 
。 划分 运行 管理 角色 : 根据 管理 制度 和 实际 运行 管理 需求 划分 运行 管理 需要 的 角色 ， 
越 高 的 安全 保护 等 级 的 运行 管理 角色 的 划分 越 细 。 
。 授予 管理 权限 : 根据 管理 制度 和 实际 运行 管理 需要 授予 每 一 个 运行 管理 角色 不 同 
的 管理 权限 ,安全 保护 等 级 越 高 的 系统 管理 权限 的 划分 越 细 。 
。 定义 人 员 职 责 : 根据 不 同 的 安全 保护 等 级 要 求 的 控制 粒度 分 析 所 需要 运行 管理 控 
制 的 内 容 , 并 以 此 定义 不 同 运 行 管理 角色 的 职责 。 
活动 输出 : 运行 管理 人 员 的 角色 和 职责 表 。 
(2) 运行 管理 过 程控 制 
活动 目标 : 本 阶段 活动 的 主要 目标 是 通过 制定 运行 管理 操作 规程 确定 运行 管理 人 员 的 
操作 目的 .操作 内 容 、 操 作 时 间 和 地 点 ,操作 方法 和 流程 等 ,并 进行 操作 过 程 记录 ,确保 对 操 
作 过 程 进 行 控制 。 
参与 角色 : 信息 系统 运营 ,使 用 单位 。 
活动 输入 : 运行 管理 需求 .运行 管理 人 员 角 色 和 职责 表 。 
活动 描述 : 本 活动 主要 包括 以 下 子 项 内 容 。 
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4.6 安全 运行 与 维护 阶段 的 主要 过 程 


。 建立 操作 规程 : 将 操作 过 程 或 流程 规范 化 ,并 形成 指导 运行 管理 人 员工 作 的 操作 规 
程 作为 规范 操作 行为 的 正式 文件 。 

。 操作 过 程 记 录 : 对 运行 管理 人 员 按 照 操作 规程 执行 的 操作 过 程 形成 相关 的 记录 文 
件 , 可 能 是 日 志文 件 ,记录 操作 的 时 间 和 人 员 ,正常 或 异常 等 信息 

活动 输出 : 各 类 运行 管理 操作 规程 。 

3) 变更 管理 和 控制 

(1) 变更 需求 和 影响 分 析 

活动 目标 : 本 阶段 活动 的 主要 目标 是 通过 对 变更 需求 和 变更 影响 的 分 析 来 确定 变更 的 

类 别 , 并 计划 后 续 的 活动 内 容 。 
参与 角色 : 信息 系统 运营 、 使 用 单位 。 
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活动 输入 : 变更 需求 。 

活动 描述 : 本 活动 主要 包括 以 下 子 项 内 容 。 

。 变更 需求 分 析 : 对 变更 需求 进行 分 析 , 确 定 变更 的 内 容 、 变 更 资源 需求 和 变更 范围 
等 ,判断 变更 的 必要 性 和 可 行 性 。 

。 变更 影响 分 析 : 对 变更 可 能 引起 的 后 果 进 行 判 断 和 分 析 , 确 定 可 能 产生 的 影响 大 
小 ,进行 变更 的 先决 条 件 和 后 续 活动 等 。 

。 明确 变更 的 类 别 : 确定 信息 系统 是 局 部 调整 还 是 重大 变更 ,如 果 是 由 信息 系统 类 型 
发 生变 化 、 承 载 的 信息 资产 类 型 发 生变 化 、 信 息 系统 服务 范围 发 生变 化 和 业务 处 理 
自动 化 程度 发 生变 化 等 原因 引起 信息 系统 安全 保护 等 级 发 生变 化 的 重大 变更 , 则 需 
要 重新 确定 信息 系统 安全 保护 等 级 ,返回 到 等 级 保护 实施 过 程 的 信息 系统 定 级 阶 
段 ; 如 果 是 局 部 调整 , 则 需要 确定 配套 进行 的 其 他 工作 内 容 。 

。 制定 变更 方案 : 根据 上 述 子 项 活动 的 结果 制定 变更 方案 。 

活动 输出 : 变更 方案 。 

(2) 变更 过 程控 制 

活动 目标 : 本 阶段 活动 的 目标 是 确保 变更 实施 过 程 受到 控制 ,各 项 变化 内 容 必 须 进行 

记录 ,保证 变更 对 业务 的 影响 最 小 。 

参与 角色 : 信息 系统 运营 、 使 用 单位 。 

活动 输入 : 变更 方案 。 

活动 描述 : 本 活动 主要 包括 以 下 子 项 内 容 。 

。 变更 内 容 的 审核 和 审批 : 对 变更 目的 .内容 、 影 响 \、 时 间 和 地 点 以 及 人 员 权 限 进行 审 
核 ,以 确保 变更 合理 ,科学 的 实施 ,按照 机 构建 立 的 审批 流程 对 变更 方案 进行 审批 。 

。 建立 变更 过 程 日 志 : 按照 批准 的 变更 方案 实施 变更 ,对 变更 过 程 中 各 类 系统 状态 、 
各 种 操作 活动 等 建立 操作 记录 或 日 志 。 

。 形成 变更 结果 报告 : 收集 变更 过 程 的 各 类 相关 文档 ,整理 ,分 析 和 总 结 各 类 数据 , 形 
成 变更 结果 报告 ,并 归档 保存 。 

活动 输出 : 变更 结果 报告 。 

4) 安全 状态 监控 

(1) 监控 对 象 的 确定 

活动 目标 : 本 阶段 活动 的 目标 是 确定 可 能 会 对 信息 系统 安全 造成 影响 的 因素 , 即 确定 

安全 状态 监控 的 对 象 。 

参与 角色 : 信息 系统 运营 、 使 用 单位 。 

活动 输入 : 安全 详细 设计 方案 .系统 验收 报告 等 。 

活动 描述 : 本 活动 主要 包括 以 下 子 项 内 容 。 

。 安全 关键 点 分 析 : 对 影响 系统 .业务 安全 性 的 关键 要 素 进行 分 析 , 确 定安 全 状态 监 
控 的 对 象 ,这 些 对 象 可 能 包括 防火 墙 \ 入 侵 检 测 、 防 病毒 .核心 路 由 器 、 核 心 交换 机 、 
主要 通信 线路 关键 服务 器 或 客户 端 等 系统 范围 内 的 实体 ,也 可 能 包括 安全 标准 和 
法 律 法 规 等 外 部 对 象 。 

。 形成 监控 对 象 列 表 : 根据 确定 的 监控 对 象 分 析 监 控 的 必要 性 和 可 行 性 ,监控 的 开销 
和 成 本 等 因素 ,形成 监控 对 象 列表 。 
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活动 输出 : 监控 对 象 列表 。 

(2) 监控 对 象 状态 信息 的 收集 

活动 目标 : 本 活动 的 目标 是 选择 状态 监控 工具 ,收集 安全 状态 监控 的 信息 ,识别 和 记录 

入 侵 行为 ,对 信息 系统 的 安全 状态 进行 监控 。 

参与 角色 : 信息 系统 运营 、 使 用 单位 。 

活动 输入 : 监控 对 象 列表 。 

活动 描述 : 本 活动 主要 包括 以 下 子 项 内 容 。 

。 选择 监控 工具 : 根据 监控 对 象 的 特点 、 监 控 管 理 的 具体 要 求 、 监 控 工 具 的 功能 和 性 
能 特点 等 选择 合适 的 监控 工具 。 监 控 工 具 也 可 能 不 是 单一 的 自动 化 工具 ,而 只 是 由 
各 类 人 员 构 成 的 遵循 一 定 规则 进行 操作 的 组 织 , 或 者 是 两 者 的 综合 。 

。 状态 信息 的 收集 : 收集 来 自 监控 对 象 的 各 类 状态 信息 ,可 能 包括 网 络 流量 日志 信 
息 、 安 全 报警 和 性 能 状况 等 ,或 者 是 来 自 外 部 环境 的 安全 标准 和 法 律 法 规 的 变更 
信息 。 

活动 输出 : 安全 状态 信息 。 

(3) 监控 状态 分 析 和 报告 

活动 目标 : 本 阶段 活动 的 目标 是 通过 对 安全 状态 信息 进行 分 析 , 及 时 发 现 安全 事件 或 

安全 变更 需求 ,并 对 其 影响 程度 和 范围 进行 分 析 ,形成 安全 状态 结果 分 析 报 告 。 

参与 角色 : 信息 系统 运营 、 使 用 单位 。 

活动 输入 : 安全 状态 信息 。 

活动 描述 : 本 活动 主要 包括 以 下 子 项 内 容 。 

。 状态 分 析 : 对 安全 状态 信息 进行 分 析 , 及 时 发 现 险 情 、 隐 患 或 安全 事件 ,并 记录 这 些 
安全 事件 ,分 析 其 发 展 趋 势 。 

。 影响 分 析 : 分 析 安 全 状况 的 变化 对 整体 安全 的 影响 ,以 决定 是 否 有 必要 作出 响应 。 

。 形成 安全 状态 分 析 报 告 : 根据 安全 状态 分 析 和 影响 分 析 的 结果 形成 安全 状态 分 析 

告 ,上 报 安全 事件 或 提出 变更 需求 。 

活动 输出 : 安全 状态 分 析 报 告 。 

5) 安全 事件 处 置 和 应 急 预 案 

(1) 安全 事件 的 分 级 

活动 目标 : 本 阶段 活动 的 目标 是 结合 信息 系统 的 实际 情况 分 析 安 全 事件 对 信息 系统 的 

破坏 程度 .所 造成 后 果 的 严重 程度 ,将 安全 事件 的 破坏 程度 进行 分 级 。 

参与 角色 : 信息 系统 运营 、 使 用 单位 。 

活动 输入 : 各 类 安全 事件 列表 。 

活动 描述 : 本 活动 主要 包括 以 下 子 项 内 容 。 

。 安全 事件 调查 和 分 析 : 针对 各 类 安全 事件 列表 调查 本 系统 内 安全 事件 的 类 型 .安全 
事件 对 业务 的 影响 范围 和 程度 ,以 及 安全 事件 所 涉及 的 受 侵害 客体 的 敏感 程度 等 信 
息 ,分 析 对 安全 事件 进行 响应 恢复 所 需要 的 时 间 。 

。 安全 事件 的 等 级 划分 : 根据 以 上 调查 和 分 析 结 果 、 根 据 信 息 安 全 事件 造成 的 损失 程 
度 、 信 息 系统 遭 到 破坏 后 对 国家 安全 、 社 会 秩序 .公共 利益 以 及 公民 法 人 和 其 他 组 
织 的 合法 权益 的 危害 程度 等 因素 确定 事件 等 级 ,制定 安全 事件 的 报告 程序 。 
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活动 输出 : 安全 事件 报告 程序 。 

(2) 应 急 预 案 的 制定 

活动 目标 : 本 阶段 活动 的 目标 是 通过 对 安全 事件 的 等 级 分 析 , 在 统一 的 应 急 预 案 框架 

下 制定 对 不 同等 级 安全 事件 的 应 急 预 案 。 

参与 角色 : 信息 系统 运营 、 使 用 单位 。 

活动 输入 : 安全 事件 报告 程序 。 

活动 描述 : 本 活动 主要 包括 以 下 子 项 内 容 。 

。 确定 应 急 预 案 对 象 : 针对 安全 事件 等 级 考虑 其 发 生 可 能 性 及 对 系统 和 业务 产生 的 
影响 ,确定 需 制定 应 急 预 案 的 安全 事件 对 象 。 

。 确定 和 认可 各 项 职责 : 在 统一 的 应 急 预 案 框架 下 明确 和 认可 应 急 预 案 中 各 部 门 的 
职责 ,并 协调 各 部 门 间 的 分 工 和 合作 。 

。 制定 应 急 预 案 程序 及 其 执行 条 件 : 针对 不 同等 级 不 同 优先 级 的 安全 事件 制定 相应 
的 应 急 预 案 程序 ,确定 安全 事件 的 响应 和 处 置 范围 程度 以 及 适用 的 管理 制度 ,说 明 
应 急 预案 启动 的 条 件 ,发 生 安全 事件 后 要 采取 的 流程 和 措施 ,并 按照 预案 定期 开展 
演练 。 

活动 输出 : 各 类 应 急 预 案 。 

(3) 安全 事件 处 置 

活动 目标 : 本 阶段 活动 的 目标 是 对 监控 到 的 安全 事件 采取 适当 的 方法 进行 处 置 ,对 安 

全 事件 的 影响 程度 和 等 级 进行 分 析 ,确定 是 否 启动 应 急 响应 。 

参与 角色 : 信息 系统 运营 、 使 用 单位 。 

活动 输入 : 安全 状态 分 析 报告 .安全 事件 报告 程序 .各 类 应 急 预 案 。 

活动 描述 : 本 活动 主要 包括 以 下 子 项 内 容 。 

。 安全 事件 上 报 : 根据 安全 状态 分 析 报 告 分 析 可 能 的 安全 事件 ,对 接 报 的 安全 事件 进 
行 分 析 , 确 定安 全 事件 等 级 、 影 响 程度 以 及 优先 级 等 ,按照 安全 事件 报告 程序 上 报 安 
全 事件 ,确定 是 否 应 对 安全 事件 启动 应 急 预 案 。 

。 安全 事件 处 置 : 对 于 应 该 启动 应 急 预 案 的 安全 事件 ,按照 应 急 预 案 响 应 机 制 进行 安 
全 事件 处 置 。 对 未 知 安全 事件 的 处 置 应 根据 安全 事件 的 等 级 制定 安全 事件 处 置 方 
案 , 包 括 安 全 事件 处 置 方法 以 及 应 采取 的 措施 等 ,并 按照 安全 事件 处 置 流程 和 方案 
对 安全 事件 进行 处 置 。 

。 安全 事件 总 结 和 报告 : 一 旦 安全 事件 得 到 解决 ,对 于 未 知 的 安全 事件 进行 事件 记 
录 , 分 析 记 录 信 息 并 补充 所 需 信息 ,使 安全 事件 成 为 已 知事 件 , 并 文档 化 ; 对 安全 事 
件 处 置 过 程 进行 总 结 , 制 定安 全 事件 处 置 报告 , 并 保存 。 

活动 输出 : 安全 事件 处 置 报告 。 

6) 安全 检查 和 持续 改进 

(1) 安全 状态 检查 

活动 目标 : 本 阶段 活动 的 主要 目标 是 通过 对 信息 系统 的 安全 状态 进行 检查 ,为 信息 系 

统 的 持续 改进 过 程 提供 依据 和 建议 ,确保 信息 系统 的 安全 保护 能 力 满足 相应 等 级 安全 要 求 。 
参与 角色 : 信息 系统 主管 部 门 ,信息 系统 运营 、 使 用 单位 。 

活动 输入 : 信息 系统 详细 描述 文件 、 变 更 结果 报告 .安全 状态 分 析 报 告 。 
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活动 描述 : 本 活动 主要 包括 以 下 子 项 内 容 。 

。 确定 检查 对 象 和 检查 方法 : 确定 检查 的 目标 和 意义 ,确定 本 次 安全 检查 活动 是 自己 
组 织 的 检查 还 是 他 方 组 织 的 安全 检查 ,如 果 是 他 方 组 织 的 安全 检查 , 则 需要 与 他 方 
实施 检查 的 单位 进行 沟通 和 配合 。 

。 制定 检查 计划 和 检查 方案 : 确定 检查 工作 的 角色 和 职责 ,确定 检查 工作 的 方法 ,成 
立 安 全 检查 工作 组 ,制定 安全 检查 工作 计划 和 安全 检查 方案 ,说 明 安 全 检查 的 范围 、 
对 象 .工作 方法 等 ,准备 安全 检查 需要 的 各 类 表单 和 工具 。 

。 安全 检查 实施 : 根据 安全 检查 计划 通过 询问 、 检 查 和 测试 等 多 种 手段 进行 安全 状况 
检查 ,记录 各 种 检查 活动 的 结果 数据 ,分 析 安 全 措施 的 有 效 性 、 安 全 事件 发 生 的 可 能 
性 和 信息 系统 的 实际 改进 需求 等 。 

。 安全 检查 结果 和 报告 : 总 结 安全 检查 的 结果 ,提出 改进 的 建议 ,并 产生 安全 检查 报 
告 ,将 安全 检查 过 程 中 的 各 类 文档 ,资料 归档 保存 。 

活动 输出 : 安全 检查 报告 。 

(2) 改进 方案 的 制定 

活动 目标 : 本 阶段 活动 的 主要 目标 是 依据 安全 检查 的 结果 调整 信息 系统 的 安全 状态 ， 

保证 信息 系统 安全 防护 的 有 效 性 。 

参与 角色 : 信息 系统 运营 、 使 用 单位 。 

活动 输入 : 安全 检查 报告 。 

活动 描述 : 本 活动 主要 包括 以 下 子 项 内 容 。 

。 安全 改进 的 立项 : 根据 安全 检查 结果 确定 安全 改进 的 策略 ,如 果 涉 及 安全 保护 等 级 
的 变化 , 则 应 进入 安全 保护 等 级 保护 实施 的 一 个 新 的 循环 过 程 ; 如 果 安 全 保护 等 级 
不 变 ,但 是 调整 内 容 较 多 、 涉 及 范围 较 大 , 则 应 对 安全 改进 项 目 进行 立项 ,重新 开始 
安全 实施 /实现 过 程 ; 如 果 调 整 内 容 较 少 , 则 可 以 直接 进行 安全 改进 实施 。 

。 制定 安全 改进 方案 : 确定 安全 改进 的 工作 方法 、 工 作 内 容 、 人 员 分 工 、 时 间 计 划 等 ， 
制定 安全 改进 方案 。 安 全 改进 方案 只 适用 于 小 范围 内 的 安全 改进 ,例如 安全 加 固 、 
配置 加 强 、 系 统 补丁 等 。 

活动 输出 : 安全 改进 方案 。 

(3) 安全 改进 的 实施 

活动 目标 : 本 阶段 活动 的 目标 是 保证 按照 安全 改进 方案 实现 各 项 补充 安全 措施 ,并 确 

保 原 有 的 技术 措施 和 管理 措施 与 各 项 补充 的 安全 措施 一 致 有 效 地 工作 。 

参与 角色 : 信息 系统 运营 、 使 用 单位 。 

活动 输入 : 安全 改进 方案 。 

按照 安全 改进 方案 实施 和 落实 各 项 补充 的 安全 措施 后 ,要 调整 和 修订 各 类 相关 的 技术 

文件 和 管理 制度 ,保证 原 有 体系 的 完整 性 和 一 致 性 。 

活动 输出 : 测试 或 验收 报告 。 

7) 等 级 测评 

活动 目标 : 本 阶段 活动 的 目标 是 通过 信息 安全 等 级 测评 机 构 对 已 经 完成 等 级 保护 建 

设 的 信息 系统 定期 进行 等 级 测评 ,确保 信息 系统 的 安全 保护 措施 符合 相应 等 级 的 安全 
要 求 。 
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参与 角色 : 信息 系统 主管 部 门 ,信息 系统 运营 、 使 用 单位 ,信息 安全 等 级 测评 机 构 。 

活动 输入 : 信息 系统 详细 描述 文件 ,信息 系统 安全 保护 等 级 定 级 报告 .系统 验收 报告 。 

活动 描述 : 参见 有 关 信 息 系统 安全 保护 等 级 测评 的 规范 或 标准 ,可 以 在 “http://www. 
cspec. gov. cn/ ”查阅 。 

活动 输出 : 安全 等 级 测评 报告 。 

8) 系统 备案 

活动 目标 : 本 阶段 活动 的 目标 是 根据 国家 管理 部 门 对 备案 的 要 求 整理 相关 备案 材料 ， 
并 向 受理 备案 的 单位 提交 备案 材料 。 

参与 角色 : 信息 系统 主管 部 门 , 信 息 系统 运营 、 使 用 单位 ,国家 管理 部 门 。 

活动 输入 : 信息 系统 安全 保护 等 级 定 级 报告 、 信 息 系 统 安全 总 体 方案 、 安 全 详细 设计 方 
案 、 安 全 等 级 测评 报告 。 

活动 描述 : 本 活动 主要 包括 以 下 子 项 内 容 。 

。 备案 材料 的 整理 : 信息 系统 运营 、 使 用 单位 针对 备案 材料 的 要 求 整理 ,填写 备案 

材料 ; 
。 备案 材料 的 提交 : 信息 系统 和 运营、 使 用 单位 根据 国家 管理 部 门 的 要 求 办 理 定 级 备案 
手续 ,提交 备案 材料 ; 国家 管理 部 门 接收 备案 材料 。 

活动 输出 : 备案 材料 。 

9) 监督 检查 

活动 目标 : 本 活动 的 目标 是 通过 国家 管理 部 门 对 信息 系统 定 级 ,规划 设计 、 建 设 实施 和 
运行 管理 等 过 程 进行 监督 检查 ,确保 其 符合 信息 系统 安全 保护 等 级 相应 的 要 求 。 

参与 角色 : 信息 系统 主管 部 门 ,信息 系统 运营 、 使 用 单位 ,国家 管理 部 门 。 

活动 输入 : 备案 材料 。 

活动 描述 : 参见 信息 安全 等 级 保护 监督 检查 的 规范 或 标准 ,可 以 在 “http://www. 
cspec. gov. cn/ ”查阅 。 

活动 输出 : 监督 检查 结果 报告 。 

5. 信息 系统 终止 

1) 信息 系统 终止 阶段 的 工作 流程 

信息 系统 终止 阶段 是 等 级 保护 实施 过 程 中 的 最 后 环节 。 当 信息 系统 被 转移 、 终 止 或 废 
弃 时 ,正确 处 理 系统 内 的 敏感 信息 和 残留 的 敏感 信息 对 于 确保 机 构 信息 资产 的 安全 是 至 关 
重要 的 。 在 信息 系统 生命 周期 中 ,有 些 系统 并 不 是 真正 意义 上 的 废弃 ,而 是 改进 技术 或 将 业 
务 转移 到 新 的 信息 系统 ,对 于 这 些 信 息 系统 ,在 终止 处 理 过 程 中 应 确保 信息 转移 、 设 备 迁 移 
和 介质 销毁 等 方面 的 安全 。 

信息 系统 终止 阶段 涉及 的 信息 转移 、 暂 存 和 清除 ,设备 迁移 或 废弃 ,存储 介质 的 清除 或 
销毁 等 活动 的 工作 流程 见 图 4.7。 

2) 信息 转移 、 暂 存 和 清除 

活动 目标 : 本 阶段 活动 的 目标 是 在 信息 系统 终止 处 理 过 程 中 ,对 于 可 能 会 在 另外 的 信 
息 系统 中 使 用 的 信息 采取 适当 的 方法 将 其 安全 地 转移 或 暂 存 到 可 以 恢复 的 介质 中 ,确保 将 
来 可 以 继续 使 用 ,同时 采用 安全 的 方法 清除 要 终止 的 信息 系统 中 的 信息 。 

参与 角色 : 信息 系统 运营 、 使 用 单位 。 
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4.7 信息 系统 终止 阶段 的 工作 流程 


活动 输入 : 信息 系统 信息 资产 清单 。 
活动 描述 : 本 活动 主要 包括 以 下 子 项 内 容 。 


”识别 要 转移 、 暂 存 和 清除 的 信息 资产 : 根据 要 终止 的 信息 系统 的 信息 资产 清单 识别 
重要 信息 资产 .所 处 的 位 置 以 及 当前 状态 等 , 列 出 需 转 移 、 暂 存 和 清除 的 信息 资产 的 
清单 。 

。 信 息 资产 转移 、 暂 存 和 清除 : 根据 信息 资产 的 重要 程度 制定 信息 资产 的 转移 、 暂 存 、 
清除 的 方法 和 过 程 。 如 果 是 涉 密 信息 ,应 该 按照 国家 相关 部 门 的 规定 进行 转移 、 暂 

。 处 理 过 程 记录 : 记录 信息 转移 、 暂 存 和 清除 的 过 程 ,包括 参与 的 人 员 , 转 移 、 暂 存 和 
清除 的 方式 以 及 目前 信息 所 处 的 位 置 等 。 


活动 输出 : 信息 转移 暂 存 ,清除 处 理 记 录 文档 。 
3) 设备 迁移 或 废弃 


活动 目标 : 本 活动 的 目标 是 确保 信息 系统 终止 后 迁移 或 废弃 的 设备 内 不 包括 敏感 信 


息 ,对 设备 的 处 理 方式 应 符合 国家 相关 部 门 的 要 求 。 
参与 角色 : 信息 系统 运营 、 使 用 单位 。 
活动 输入 : 设备 迁移 或 废弃 清单 等 。 
活动 描述 : 本 活动 主要 包括 以 下 子 项 内 容 。 


。 软 /硬件 设备 识别 : 根据 要 终止 的 信息 系统 的 设备 清单 识别 要 被 迁移 或 废弃 的 硬件 

设备 、 所 处 的 位 置 以 及 当前 状态 等 , 列 出 需 迁 移 、 废 弃 的 设备 的 清单 。 

制定 硬件 设备 处 理 方案 : 根据 规定 和 实际 情况 制定 设备 处 理 方案 ,包括 重用 设备 、 

废弃 设备 .敏感 信息 的 清除 方法 等 。 

。 处 理 方案 审批 : 重用 设备 .废弃 设备 .敏感 信息 的 清除 方法 等 的 设备 处 理 方案 应 该 
经 过 主管 领导 审查 和 批准 。 

。 设备 处 理 和 记录 : 根据 设备 处 理 方案 对 设备 进行 处 理 ,如 果 是 涉 密 信息 的 设备 ,其 
处 理 过 程 应 符合 国家 相关 部 门 的 规定 ; 记录 设备 处 理 过 程 ,包括 参与 的 人 员 、 处 理 
的 方式 是否 有 残余 信息 的 检查 结果 等 。 

活动 输出 : 设备 迁移 、 废 弃 处 理 报告 。 

4) 存储 介质 的 清除 或 销毁 

活动 目标 : 本 阶段 活动 的 目标 是 通过 采用 合理 的 方式 对 计算 机 介质 (包括 磁带 、 磁 盘 、 
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打印 结果 和 文档 ) 进 行 信息 清除 或 销毁 处 理 , 防 止 介质 内 的 敏感 信息 泄露 。 

参与 角色 : 信息 系统 运营 、 使 用 单位 。 

活动 输入 : 存储 介质 清单 等 。 

活动 描述 : 本 活动 主要 包括 以 下 子 项 内 容 。 

。 识别 要 清除 或 销毁 的 介质 : 根据 要 终止 的 信息 系统 的 存储 介质 清单 识别 载 有 重要 
信息 的 存储 介质 .所 处 的 位 置 以 及 当前 状态 等 , 列 出 需 清除 或 销毁 的 存储 介质 清单 。 

”确定 存储 介质 处 理 方法 和 流程 : 根据 存储 介质 所 承载 信息 的 敏感 程度 确定 对 存储 
介质 的 处 理 方式 和 处 理 流 程 ,对 存储 介质 的 处 理 包 括 数据 清除 和 存储 介质 销毁 等 。 
对 于 存储 涉 密 信 息 的 介质 应 按照 国家 相关 部 门 的 规定 进行 处 理 。 

。 处 理 方案 审批 : 存储 介质 的 处 理 方式 和 处 理 流 程 等 的 处 理 方案 应 该 经 过 主管 领导 
审查 和 批准 。 

”存储 介质 处 理 和 记录 : 根据 存储 介质 处 理 方案 对 存储 介质 进行 处 理 ,记录 处 理 过 
程 , 包 括 参与 的 人 员 、 处 理 的 方式 .是 否 有 残余 信息 的 检查 结果 等 。 

活动 输出 : 存储 介质 的 清除 或 销毁 记录 文档 。 


4.2.4 安全 等 级 保护 的 管理 


运营 、 使 用 单位 应 当 参 照 4 信 息 安 全 技术 信息 系统 安全 管理 要 求 》(GB/T 20269 
2006) 《信息 安 全 技术 信息 系统 安全 工程 管理 要 求 )(GB/T 20282 一 2006)《 信 息 系 统 安 
全 等 级 保护 基本 要 求 ) 等 管理 规范 制定 并 落实 符合 本 系统 安全 保护 等 级 要 求 的 安全 管理 
制度 。 

4.2.4.1 测评 


信息 系统 建设 完成 或 原 有 信息 系统 改造 或 扩充 、 升 级 后 , 均 应 依据 (信息 系统 安全 等 级 
保护 测评 要 求 ) 等 技术 标准 选择 符合 管理 办 法 规定 条 件 的 测评 机 构 进 行 安 全 保护 等 级 的 测 
评 。 在 确认 其 安全 保证 等 级 (安全 保证 等 级 是 对 测评 结果 评价 的 术语 ) 已 达到 安全 保护 等 级 
要 求 后 方 可 投入 运行 。 

信息 系统 投入 正式 运行 后 ,运营 、 使 用 单位 或 其 主管 部 门 应 定期 对 信息 系统 安全 保证 等 
级 状况 开展 复核 性 测评 ,确定 为 安全 保护 等 级 第 三 级 的 信息 系统 ,应 当 至 少 每 年 进行 一 次 安 
全 保护 等 级 的 复核 性 测评 ; 确定 为 安全 保护 等 级 第 四 级 的 信息 系统 ,应 当 至 少 每 半年 进行 
一 次 安全 保护 等 级 的 复核 性 测评 ; 确定 为 安全 保护 等 级 第 五 级 的 信息 系统 ,应 当 依据 特殊 
安全 需求 定期 进行 安全 保护 等 级 复核 性 测评 。 

信息 系统 投入 正式 运行 后 ,运营 、 使 用 单位 及 其 主管 部 门 应 当 定 期 对 信息 系统 的 安全 保 
护 状况 ,安全 保护 制度 及 措施 的 落实 情况 和 维护 情况 进行 自 查 , 确 定 为 安全 保护 等 级 第 三 级 
的 信息 系统 ,应 当 至 少 每 年 进行 一 次 自 查 ; 确定 为 安全 保护 等 级 第 四 级 的 信息 系统 ,应 当 至 
少 每 半年 进行 一 次 自 查 ; 确定 为 安全 保护 等 级 第 五 级 的 信息 系统 ,应 当 依据 特殊 安全 需求 
定期 进行 自 查 。 

经 测评 或 者 自 查 ,信息 系统 安全 等 级 保护 状况 未 达到 安全 保护 等 级 要 求 的 ,运营 ,使 用 
单位 应 当 制 定 方案 进行 整改 ,确定 为 安全 保护 等 级 第 三 .第 四 和 第 五 级 信息 系统 的 整改 方案 
应 按 管理 办 法 遵照 安全 监管 部 门 的 规定 报 备 或 报批 。 
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4.2.4.2 备案 和 审查 

1. 备案 

新 建 第 二 级 ( 含 ) 以 上 信息 系统 ,在 经 国家 认可 的 测评 机 构 进行 安全 保证 等 级 测评 并 符 
合 安全 保护 等 级 的 要 求 后 投入 运行 。 运 行 和 使 用 单位 应 当 在 投入 运行 后 30 日 内 由 其 运营 、 
使 用 单位 到 所 在 地 设 区 的 市 级 以 上 公安 机 关 办 理 备案 手续 ,此 处 的 “所 在 地 设 区 的 市 级 "是 
指 具 有 设立 区 级 行政 机 构 权 力 的 市 级 单位 。 

已 运营 (运行 ) 的 第 二 级 ( 含 ) 以 上 信息 系统 ,应 当 在 安全 保护 等 级 确定 后 30 日 内 由 其 运 
营 、 使 用 单位 到 所 在 地 设 区 的 市 级 以 上 公安 机 关 办 理 备案 手续 。 

隶属 于 中 央 的 在 京 单 位 ,其 跨 省 或 者 全 国 统一 联网 运行 并 由 主管 部 门 统一 定 级 的 信息 
系统 由 主管 部 门 向 公安 部 办 理 备案 手续 , 跨 省 或 者 全 国 统一 联网 运行 的 信息 系统 在 各 地 运 
行 . 应 用 的 分 支 系统 应 当 向 当地 设 区 的 市 级 以 上 公安 机 关 备 案 。 

办 理 信息 系 统 安 全 保护 等 级 备案 手续 时 应 当 填 写 ( 信 息 系统 安全 等 级 保护 备案 表 ), 第 
三 级 ( 含 ) 以 上 信息 系统 应 当 同 时 提供 以 下 材料 : 

。 系统 拓扑 结构 及 说 明 ; 

。 系统 所 属 安 全 组 织 的 机 构 和 管理 制度 ; 

。 信息 系 统 安全 保护 设施 设计 实施 方案 或 者 改建 实施 方案 ; 

。 信息 系 统 使 用 的 信息 安全 产品 清单 及 其 认证 、 销 售 许可 证 明 ; 

。 测评 机 构 在 测评 后 出 具 的 符合 系统 安全 保护 等 级 的 技术 检测 评估 报告 ; 

。 信息 系 统 安全 保护 等 级 专家 评审 意见 ; 

。 主管 部 门 审核 批准 信息 系统 安全 保护 等 级 的 意见 。 

2. 备案 后 的 审查 与 检查 

信息 系统 定 级 报告 备案 后 ,受理 的 公安 机 关 应 当 对 信息 系统 的 备案 情况 进行 审核 ,对 符 
合 等 级 保护 要 求 的 ,应 当 在 收 到 备案 材料 之 日 起 的 10 个 工作 日 内 颁发 信息 系统 安全 等 级 保 
护 备案 证 明 ; 发 现 不 符合 管理 办 法 及 有 关 标 准 的 ,应 当 在 收 到 备案 材料 之 日 起 的 10 个 工作 
日 内 通知 备案 单位 予以 纠正 ; 发 现 定 级 不 准 的 ,应 当 在 收 到 备案 材料 之 日 起 的 10 个 工作 日 
内 通知 备案 单位 重新 审核 确定 保护 等 级 。 

运营 ,使 用 单位 或 者 主管 部 门 重新 确定 信息 系统 等 级 后 ,应 当 按照 管理 办 法 向 公安 机 关 
重新 备案 。 

确定 为 安全 保护 等 级 第 三 级 、 第 四 级 的 信息 系统 在 备案 后 ,受理 备案 的 公安 机 关 除 按 前 
述 方法 审核 备案 材料 外 ,还 应 当 对 运营 、 使 用 单位 的 信息 安全 等 级 保护 工作 情况 进行 检查 。 
对 第 三 级 信息 系统 每 年 至 少 检查 一 次 ,对 第 四 级 信息 系统 每 半年 至 少 检查 一 次 ,对 跨 省 或 者 
全 国 统一 联网 运行 的 信息 系统 的 检查 应 当 会 同 其 主管 部 门 进 行 。 

确定 为 安全 保护 等 级 第 五 级 的 信息 系统 ,应 当 由 国家 指定 的 专门 部 门 进行 检查 。 

公安 机 关 、 国 家 指定 的 专门 部 门 应 当 对 下 列 事项 进行 检查 : 

。 信息 系统 安全 需求 是 否 发 生变 化 , 原 定 保护 等 级 是 否 准确 ; 

。 运营, 使 用 单位 安全 管理 制度 、 措 施 的 落实 情况 ; 

。 运营、 使 用 单位 及 其 主管 部 门 对 信息 系统 安全 状况 的 检查 情况 ; 

。 系统 安全 等 级 测评 是 否 符合 要 求 ; 

。 信息 安全 产品 使 用 是 否 符合 要 求 ; 
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。 信息 系统 安全 整改 情况 
。 备案 材料 与 运营 ,使 用 单位 和 信息 系统 的 符合 情况 ; 
。 其 他 应 当 进 行 监督 检查 的 事项 。 
4.2.4.3 ”常规 性 监督 检查、 指导 
1. 检查 事项 
确定 了 安全 保护 等 级 的 信息 系统 运营 、 使 用 单位 ,应 当 接 受 公安 机 关 、 国 家 指定 的 专门 
部 门 对 信息 系统 安全 运行 状况 的 监督 检查、 指导 , 按 要 求 定 期 \ 如 实地 向 公安 机 关 、 国 家 指 
定 的 专门 部 门 提 供 下 列 有 关 信 息 安全 等 级 保护 的 信息 资料 及 数据 文件 : 
。 信息 系统 备案 事项 的 变更 情况 ; 
。 安全 组 织 、 人 员 的 变动 情况 ; 
。 信息 安全 管理 制度 、 措 施 的 变更 情况 ; 
。 信息 系统 运行 状况 记录 ; 
。 运营, 使 用 单位 及 主管 部 门 定期 对 信息 系统 安全 状况 的 检查 记录 ; 
。 对 信息 系统 开展 等 级 测评 的 技术 测评 报告 ; 
。 信息 安全 产品 使 用 的 变更 情况 ; 
。 信息 安全 事件 应 急 预案 ,信息 安全 事件 应 急 处 置 结果 报告 ; 
。 信息 系统 安全 建设 .整改 结果 报告 。 
公安 机 关 检 查 发 现 信 息 系统 的 安全 等 级 保护 状况 不 符合 信息 安全 等 级 保护 有 关 管 理 规 
范 和 技术 标准 的 ,应 当 向 运营 、 使 用 单位 发 出 整改 通知 。 和 运营、 使 用 单位 应 当 根据 整改 通知 
要 求 按照 管理 规范 和 技术 标准 进行 整改 ,整改 完成 后 应 当 将 整改 报告 向 公安 机 关 备案 ,必要 
时 ,公安 机 关 可 以 对 整改 情况 组 织 检 查 。 
2. 资质 审查 
1) 产品 资质 
确定 为 安全 保护 等 级 第 三 级 以 上 的 信息 系统 ,在 选择 信息 安全 产品 时 应 当 符合 以 下 
条 件 : 
。 产品 研制 ,生产 单位 是 由 中 国 公 民 、 法 人 投资 或 者 国家 投资 或 者 控股 的 ,在 中 华人 民 
共和 国境 内 具有 独立 的 法 人 资格 ; 
。 产品 的 核心 技术 .关键 部 件 具有 我 国 自主 知识 产权 ; 
。 产品 研制 .生产 单位 及 其 主要 业务 .技术 人 员 无 犯罪 记录 ; 
。 产品 研制 .生产 单位 声明 没有 故意 留 有 或 者 设置 漏洞 .后 门 ,木马 等 程序 和 功能 ; 
。 对 国家 安全 ,社会 秩序 公共 利益 不 构成 危害 ; 
对 已 列 和 信息 安全 产品 认证 目录 的 ,应 当 取 得 国家 信息 安全 产品 认证 机 构 颁 发 的 认 
2) 测评 机 构 资质 
确定 为 安全 保护 等 级 第 三 级 以 上 的 信息 系统 ,在 选择 测评 机 构 进行 安全 保证 等 级 测评 
时 ,测评 机 构 应 当 符合 下 列 条 件 : 
。 在 中 华人 民 共 和 国境 内 注册 成 立 (港澳 台地 区 除外 ); 
。 由 中 国 公民 投资 .中 国法 人 投资 或 者 国家 投资 的 企 事 业 单 位 (港澳 台地 区 除外 ); 
。 从 事 相 关 检 测评 估 工 作 两 年 以 上 ,无 违法 记录 ; 
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。 工作 人 员 仅 限于 中 国 公民 ; 

。 法 人 及 主要 业务 .技术 人 员 无 犯罪 记录 ; 

”使 用 的 技术 装备 .设施 应 当 符合 国家 规定 的 对 信息 安全 产品 的 要 求 ; 

。 具有 完备 的 保密 管理 ,项目 管理 ,质量 管理 .人 员 管 理 和 培训 教育 等 安全 管理 制度 ; 

。 对 国家 安全 社会 秩序 .公共 利益 不 构成 威胁 。 

从 事 信 息 系 统 安全 保证 等 级 测评 的 机 构 应 当 履 行 下 列 义务 : 

”遵守 国家 有 关 法 律 法 规 和 技术 标准 ,提供 安全 、 客 观 . 公 正 的 检测 评估 服务 ,保证 测 
评 的 质量 和 效果 ; 

。 保 守 在 测评 活动 中 知悉 的 国家 秘密 、 商 业 秘密 和 个 人 隐私 ,防范 测评 风险 ; 

。 对 测评 和 人员 进 行 安全 保密 教育 ,与 其 签订 安全 保密 责任 书 , 规 定 应 当 履 行 的 安全 保 
密 义 务 和 承担 的 法 律 责任 ,并 负责 检查 落实 。 


4.2.5 ” 涉 密 信息 系统 的 分 级 保护 管理 


涉 密 信息 系统 的 分 级 保护 框架 原则 来 源 于 信息 系统 等 级 保护 的 框架 ,但 由 于 涉 密 信息 
系统 的 特殊 的 国家 属性 ,其 管理 的 主管 机 构 和 安全 保护 措施 的 选择 都 与 非 涉 密 信息 系统 存 
在 很 大 差别 。 有 鉴于 此 ,为 了 区 别 起 见 ,习惯 地 将 涉 密 信 息 系统 的 分 等 级 保护 称 为 分 级 保护 
(简称 分 保 ) 。 

参考 (信息 安全 等 级 保护 管理 办 法 》( 公 通 字 [2007]43 号 文件 ) 的 规定 , 涉 密 信息 系统 依 
据 国 家 信息 安全 等 级 保护 的 基本 要 求 , 根 据 国家 保密 工作 部 门 制定 的 有 关 涉 密 信息 系统 分 
级 保护 的 管理 规定 和 技术 标准 ,结合 涉 密 信息 系统 的 实际 情况 进行 保护 。 涉 及 国家 秘密 的 
信息 不 得 在 非 涉 密 信息 系统 中 进行 处 理 , 同 时 非 涉 密 信息 系统 也 不 得 处 理 涉 及 国家 秘密 的 
信息 。 

4.2.5.1 密级 划分 与 系统 定 级 

涉 密 信息 系统 按照 所 处 理 信息 的 最 高 密级 ,由 低 到 高 分 为 秘密 、 机 密 、 绝 密 3 个 等 级 。 

涉 密 信息 系统 建设 使 用 单位 应 在 对 系统 内 的 信息 进行 规范 定 密 的 基础 上 依据 
BMB 20 一 2007《 涉 及 国家 秘密 的 信息 系统 分 级 保护 管理 规范 》 和 国家 保密 标准 BMB 17 
2006《 涉 及 国家 秘密 的 计算 机 信息 系统 分 级 保护 技术 要 求 ) 将 系统 内 信息 的 密级 最 高 者 确定 
为 系统 密级 ,例如 涉 密 信息 系统 内 有 的 信息 属 秘密 级 ,有 的 属 机 密级 ,但 整个 信息 系统 的 密 
级 应 定 为 机 密级 。 对 于 包含 多 个 安全 域 的 涉 密 信 息 系 统 , 各 安全 域 可 以 分 别 确定 密级 。 

信息 系统 的 业务 主管 部 门 的 保密 工作 机 构 和 国家 保密 机 构 应 当 监 督 指 导 涉 密 信息 系统 
建设 和 使 用 单位 准确 合理 地 进行 系统 定 级 。 

涉 密 信息 系统 建设 和 使 用 单位 应 当 将 涉 密 信息 系统 定 级 和 建设 使 用 情况 及 时 上 报 业 务 
主管 部 门 的 保密 工作 机 构 和 负责 系统 审批 的 保密 工作 部 门 备案 ,并 接受 保密 部 门 的 监督 、 检 
查 、 指 导 。 

4.2.5.2 设计 与 实施 的 管理 

涉 密 信息 系统 建设 和 使 用 单位 应 当选 择 具有 涉 密 集成 资质 的 单位 承担 或 参与 涉 密 信息 
系统 的 设计 与 实施 , 涉 密集 成 资质 由 国家 保密 机 构 或 其 授权 机 构 按 规定 进行 审批 和 年 检 。 

涉 密 信息 系统 建设 和 使 用 单位 应 当 依 据 涉 密 信息 系统 分 级 保护 管理 规范 和 技术 标准 ， 
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按照 秘密 、 机 密 、 绝 密 3 个 等 级 的 不 同 要 求 ,结合 系统 实际 进行 方案 设计 ,实施 分 级 保护 ,其 
保护 水 平 总 体 上 分 别 不 低 于 国家 信息 安全 等 级 保护 第 三 级 、 第 四 级 、 第 五 级 的 水 平 。 

涉 密 信息 系统 选用 的 信息 安全 保密 技术 产品 原则 上 应 当 是 国产 产品 ,这 些 产 品 应 当 通 
过 国家 保密 局 授权 的 检测 机 构 依 据 国家 有 关 保 密 技术 标准 进行 的 检测 ,通过 检测 的 产品 由 
国家 保密 局 审核 后 发 布 产品 目录 。 

涉 密 信 息 系统 建设 和 使 用 单位 在 系统 工程 实施 结束 后 ,应 当 向 保密 工作 部 门 提出 申请 ， 
由 国家 保密 局 授权 的 系统 测评 机 构 依据 国家 保密 标准 BMB 22 一 2007《 涉 及 国家 秘密 的 计 
算 机 信息 系统 分 级 保护 测评 指南 ?对 涉 密 信息 系统 进行 安全 保密 测评 。 

涉 密 信 息 系统 建设 和 使 用 单位 在 系统 投入 使 用 前 ,应 当 按照 国保 发 [2007]18 号 《涉及 
国家 秘密 的 信息 系统 审批 管理 规定 ) 向 所 在 地 设 区 的 市 级 以 上 保密 工作 部 门 申请 进行 系统 
审批 , 涉 密 信息 系 统 在 通过 审批 后 方 可 投入 使 用 。 已 投入 使 用 的 涉 密 信息 系统 ,其 建设 和 使 
用 单位 在 按照 分 级 保护 要 求 完成 系统 整改 后 ,应 当 向 保密 工作 部 门 备 案 。 

涉 密 信息 系统 建设 和 使 用 单位 在 申请 系统 审批 或 者 备案 时 应 当 提交 以 下 材料 : 

。 系统 设计 、 实 施 方案 及 审查 论证 意见 ; 

。 系统 承建 单位 资质 证 明 材 料 ; 

。 系统 建设 和 工程 监理 情况 报告 ; 

。 系统 安全 保密 检测 评估 报告 ; 

。 系统 安全 保密 组 织 机 构 和 管理 制度 情况 ; 

。 其 他 有 关 材 料 。 

4.2.5.3 分 级 保护 的 常规 性 管理 

国家 和 地 方 各 级 保密 工作 部 门 依法 对 各 地 区 、 各 部 门 涉 密 信息 系统 分 级 保护 工作 实施 
监督 管理 ,并 做 好 以 下 工作 : 

。 指导 、 监 督 和 检查 分 级 保护 工作 的 开展 ; 

。 指导 涉 密 信息 系统 建设 使 用 单位 规范 信息 定 密 , 合 理 确定 系统 保护 等 级 ; 

。 参与 涉 密 信息 系统 分 级 保护 方案 论证 ,指导 建设 和 使 用 单位 做 好 保密 设施 的 同步 规 


划 设计 ; 

。 依 法 对 涉 密 信 息 系统 集成 资质 单位 进行 监督 管理 ; 

。 严格 进行 系统 测评 和 审批 工作 ,监督 检查 涉 密 信息 系统 建设 和 使 用 单位 分 级 保护 管 
理 制 度 和 技术 措施 的 落实 情况 ; 

。 加 强 涉 密 信息 系统 运行 中 的 保密 监督 检查 ,对 秘密 级 、 机 密级 信息 系统 每 两 年 至 少 
进行 一 次 保密 检查 或 者 系统 测评 ,对 绝密 级 信息 系统 每 年 至 少 进行 一 次 保密 检查 或 
者 系统 测评 ; 

。 了解 掌握 各 级 各 类 涉 密 信 息 系 统 的 管理 使 用 情况 ,及 时 发 现 和 查处 各 种 违规 违法 行 


涉 密 信息 系统 发 生 涉 密 等 级 .连接 范围 .环境 设施 .主要 应 用 、 安 全 保密 管理 责任 单位 变 
更 时 ,其 建设 和 使 用 单位 应 当 及 时 向 负责 审批 的 保密 工作 部 门 报告 ,保密 工作 部 门 应 当 根据 
实际 情况 决定 是 否 对 其 重新 进行 测评 和 审批 。 

涉 密 信息 系统 建设 和 使 用 单位 应 当 依据 国家 保密 标准 BMB 20 一 2007《 涉 及 国家 秘密 
的 信息 系统 分 级 保护 管理 规范 》 吉 强 涉 密 信息 系统 运行 中 的 保密 管理 ,定期 进行 风险 评估 ， 
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消除 泄密 隐患 和 漏洞 。 
4.2.6 安全 等 级 保护 中 的 密码 管理 


国家 密码 管理 部 门 对 信息 安全 等 级 保护 的 密码 实行 分 类 分 级 管理 。 根 据 被 保护 对 象 在 
国家 安全 、 社 会 稳定 、 经 济 建设 中 的 作用 和 重要 程度 ,被 保护 对 象 的 安全 防护 要 求 和 涉 密 程 
度 ,被 保护 对 象 被 破坏 后 的 危害 程度 以 及 密码 使 用 部 门 的 性 质 等 确定 密码 的 等 级 保护 准则 。 

信息 系统 运营 、 使 用 单位 采用 密码 进行 等 级 保护 的 ,应 当 遵 照 国家 密码 管理 局 2007 年 
颁布 的 《信息 安全 等 级 保护 商用 密码 管理 办 法 》( 国 密 局 发 [2007]11 号 ) 和 《信息 安全 等 级 保 
护 商用 密码 技术 要 求 } 等 密码 管理 规定 和 相关 标准 。 信 息 系统 安全 等 级 保护 中 密码 的 配备 、 
使 用 和 管理 等 应 当 严格 执行 国家 密码 管理 的 有 关 规定 。 

信息 系统 运营 、 使 用 单位 应 当 充 分 运用 密码 技术 对 信息 系统 进行 保护 。 采 用 密码 对 涉 
及 国家 秘密 的 信息 和 信息 系统 进行 保护 的 ,应 报 经 国家 密码 管理 机 构 审批 ,密码 的 设计 、 实 
施 、 使 用 ,运行 维护 和 日 常 管理 等 应 当 按照 国家 密码 管理 有 关 规 定 和 相关 标准 执行 ; 采用 密 
码 对 不 涉及 国家 秘密 的 信息 和 信息 系统 进行 保护 的 , 须 遵守 (商用 密码 管理 条 例 》 和 密码 分 
类 分 级 保护 有 关 规 定 与 相关 标准 ,其 密码 的 配备 使 用 情况 应 当 向 国家 密码 管理 机 构 备 案 。 

运用 密码 技术 对 信息 系统 进行 系统 等 级 保护 建设 和 整改 的 ,必须 采用 经 国家 密码 管理 
机 构 批 准 使 用 或 者 准予 销售 的 密码 产品 进行 安全 保护 ,不 得 采用 国外 引进 或 者 擅自 研制 的 
密码 产品 ; 未 经 批准 不 得 采用 含有 加 密 功 能 的 进口 信息 技术 产品 。 

信息 系统 中 的 密码 及 密码 设备 的 测评 工作 由 国家 密码 管理 机 构 认可 的 测评 机 构 承担 ， 
其 他 任何 部 门 .单位 和 个 人 不 得 对 密码 进行 评测 和 监控 。 

各 级 密码 管理 部 门 可 以 定期 或 者 不 定期 对 信息 系统 等 级 保护 工作 中 密码 配备 ,使 用 和 
管理 的 情况 进行 检查 和 测评 ,对 重要 涉 密 信息 系统 的 密码 配备 ,使 用 和 管理 情况 每 两 年 至 少 
进行 一 次 检查 和 测评 。 在 监督 检查 过 程 中 ,发 现存 在 安全 隐患 或 者 违反 密码 管理 相关 规定 
或 者 未 达到 密码 相关 标准 要 求 的 ,应 当 按照 国家 密码 管理 的 相关 规定 进行 处 置 。 


4.2.7 安全 等 级 保护 管理 中 的 法 律 责 任 


《信息 安全 等 级 保护 管理 办 法 ) 是 我 国 全 面 实施 信息 安全 保障 极为 重要 的 法 规 性 文件 ， 
特别 是 对 涉及 国家 安全 、 社 会 稳定 .国计民生 等 信息 系统 的 安全 建设 .使 用 ,维护 和 提供 信息 
安全 集成 与 咨询 服务 的 组 织 机 构 以 及 监管 部 门 具有 约束 力 ,必须 得 到 严格 执行 。 

《信息 安全 等 级 保护 管理 办 法 明确 规定 了 实施 安全 等 级 保护 第 三 级 以 上 ( 含 ) 的 信息 系 
统 有 关 的 建设 ,使 用 单位 的 法 律 责 任 以 及 监管 部 门 违反 监管 纪律 的 法 律 责 任 ; 参与 安全 等 
级 保护 信息 系统 设计 、 实 施 的 信息 安全 集成 单位 或 受 委托 协助 运行 维护 的 单位 由 信息 系统 
的 业主 与 其 签订 安全 责任 和 保密 合同 ,承担 连带 的 法 律 责 任 。 

确定 为 安全 保护 等 级 第 三 级 以 上 ( 含 ) 信 息 系统 的 运营 、 使 用 单位 违反 《信息 安全 等 级 保 
护 管理 办 法 ) 规 定 的 ,由 公安 机 关 、 国 家 保密 工作 部 门 和 国家 密码 工作 管理 部 门 按照 职责 分 
工 责令 其 限期 改正 ; 逾期 不 改正 的 ,给 予 警 告 ,并 向 其 上 级 主管 部 门 通报 情况 ,建议 对 其 直 
接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 了 予以 处 理 , 并 及 时 反馈 处 理 结 果 。 具 有 下 列 情况 之 
一 的 ,属于 违反 《信息 安全 等 级 保护 管理 办 法 ?规定 的 行为 : 

。 未 按 (信息 安全 等 级 保护 管理 办 法 ) 规 定 备 案 、 审 批 的 ; 
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。 未 按 (信息 安全 等 级 保护 管理 办 法 ) 规 定 落实 安全 管理 制度 、 措 施 的 ; 

。 未 按 (信息 安全 等 级 保护 管理 办 法 ) 规 定 开展 系 统 安全 状况 检查 的 ; 

。 未 按 ( 信 息 安 全 等 级 保护 管理 办 法 ) 规 定 开展 系统 安全 技术 测评 的 ; 

。 接 到 相关 监管 部 门 要 求 限期 整改 的 通知 后 拒 不 进行 整改 的 ; 

。 未 按 (信息 安全 等 级 保护 管理 办 法 ) 规 定 选 择 使 用 信息 安全 产品 和 测评 机 构 的 ; 

。 未 按 (信息 安全 等 级 保护 管理 办 法 ) 规 定 如 实 提供 有 关 文 件 和 证 明 材 料 的 ; 

。 违 反 保密 管理 规定 的 ; 

。 违反 密码 管理 规定 的 ; 

。 违反 《信息 安全 等 级 保护 管理 办 法 ?其 他 规定 的 。 

违反 上 述 规定 造成 严重 损害 的 ,由 相关 部 门 依 照 有 关 法 律 法规 予 以 处 理 。 

信息 安全 监管 部 门 及 其 工作 人 员 在 履行 监督 管理 职责 中 玩忽 职守 ,滥用 职权 、 徇 私 舞 刺 
的 ,依法 给 予 行政 处 分 ; 构成 犯罪 的 ,依法 追究 刑事 责任 。 


4.3 信息 安全 管理 的 指导 原则 


4.3.1 指导 方针 和 策略 原则 


我 国信 息 安全 管理 的 指导 方针 和 策略 原则 遵从 (国家 信息 化 领导 小 组 关于 加 强 信息 安 
全 保障 工作 的 意见 》( 中 办 发 L[2003]27 号 文 ) 规 定 , 要 点 如 下 : 

1. 以 安全 保 发 展 ,在 发 展 中 求 安 全 

信息 安全 的 目的 是 通过 保护 信息 系统 内 有 价值 的 资产 ,比如 数据 \ 硬 件 、 软 件 和 环境 等 ， 
保证 信息 系统 健康 有 序 和 稳定 的 运行 ,促进 社会 ,经 济 、 政 治 和 文化 的 发 展 。 没 有 安全 保证 
的 信息 化 ,以 及 牺牲 信息 化 发 展 来 换取 安全 ,是 两 种 必须 气 弃 的 极端 做 法 。 科 学 的 安全 发 展 
观 是 在 安全 意识 上 全 面 提高 对 信息 安全 保障 认识 的 同时 采用 渐进 的 适度 安全 策略 保证 和 推 
进 信息 化 的 发 展 ,并 通过 信息 化 的 发 展 为 信息 安全 保障 体系 的 逐步 完善 提供 充足 的 人 力 、 财 
力 和 物力 支持 。 

2. 受 保护 资源 的 价值 与 保护 成 本 平衡 

信息 安全 的 成 本 和 绩效 比 应 该 对 货币 和 非 货 币 两 方面 进行 评估 ,以 保证 将 成 本 控制 在 
预期 的 范围 内 。 

3. 明确 国家 、 企 业 和 个 人 对 信息 安全 的 职责 和 可 确认 性 

应 该 明确 信息 系统 有 关 各 方 (所 有 者 ,管理 者 、 经 营 者 、 供 应 商 以 及 使 用 者 ) 各 自 应 该 承 
担 的 安全 职责 和 可 确认 性 。 

4. 信息 安全 需要 积极 防御 和 综合 防范 

信息 安全 必须 坚持 综合 治理 的 方法 ,坚持 保护 与 监管 相 结合 .技术 措施 与 管理 并 重 的 方 
针 ,综合 治理 方法 必须 贯穿 信息 系统 的 整个 生命 周期 。 

5. 定期 评估 信息 系统 的 残留 风险 

信息 系统 及 其 运行 环境 是 动态 变化 的 ,一劳永逸 的 信息 系统 安全 解决 方案 是 不 存在 的 ， 
因此 必须 定期 评估 信息 系统 的 残留 风险 ,并 依 此 调整 安全 策略 和 安全 措施 ,以 适应 动态 变化 
的 安全 形势 。 
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6. 综合 考虑 社会 因素 对 信息 安全 的 制约 

信息 安全 受到 很 多 社会 因素 的 制约 ,比如 国家 法 律 . 风俗 文化 和 社会 影响 等 。 安 全 措施 
的 选择 和 实现 还 应 该 综合 考虑 法 律 框架 下 信息 系统 所 有 者 与 使 用 者 `. 所 有 者 和 社会 各 方面 
之 间 的 利益 平衡 。 

7. 信息 安全 管理 应 该 体现 以 人 为 本 

信息 系统 安全 管理 措施 要 尽 可 能 体现 人 性 化 、 社 会 公平 和 交换 平等 的 价值 观念 。 


4.3.2 工程 原则 


为 了 指导 信息 安全 工程 的 组 织 和 实施 ,本 节 给 出 了 信息 安全 工程 应 遵循 的 基本 原则 ,这 
些 原 则 可 应 用 于 信息 系统 的 安全 规划 ,设计 、 开 发. 实施、 运行 ,维护 管理 和 报废 处 理 等 各 个 
环节 。 这 些 原 则 简短 明了 ,可 分 为 6 类 , 即 基 本 保证 .适度 安全 .实用 性 和 标准 化 .保护 层次 
化 和 系统 化 、 降 低 复杂 度 和 安全 设计 结构 化 。 

lL 


基本 保证 

在 进行 信息 系统 安全 工程 设计 前 应 制定 符合 本 系统 实际 的 安全 规划 ,其 中 包括 安全 
目标 和 安全 策略 ; 

将 安全 保障 作为 信息 系统 设计 中 不 可 分 割 的 部 分 同步 进行 设计 ， 

识别 信息 及 信息 系统 资产 ,以 此 作为 风险 分 析 和 安全 需求 分 析 的 对 象 ; 

合理 划分 安全 域 ; 

确保 开发 者 受过 软件 安全 开发 和 信息 安全 服务 与 机 制 的 良好 训练 ; 

确保 信息 系统 用 户 的 职业 道德 和 安全 意识 的 持续 性 教育 .培训 。 


.适度 安全 


通过 对 抗 、 降 低 ,规避 和 转移 风险 等 方式 将 风险 降低 到 可 接受 的 水 平 , 不 追求 绝对 安 
全 或 过 度 安全 的 目标 ; 

安全 的 标志 之 一 是 系统 的 运行 和 维护 可 控 或 可 管理 ; 

在 减 小 风险 .增加 成 本 开销 和 降低 某 些 操作 有 效 性 之 间 进 行 折 中 ,避免 育 目 地 和 过 
度 地 追求 安全 目标 ; 

采用 剪裁 方式 选择 适当 的 安全 措施 ,并 使 这 些 安全 措施 达成 具有 一 致 性 的 逻辑 组 
合 , 以 满足 组 织 的 安全 需求 ; 

保护 信 源 到 信 宿 的 通信 全 程 的 机 密 性 、 完 整 性 和 可 用 性 ; 

在 必要 时 自主 开发 自用 品 以 满足 某 些 特殊 的 安全 需求 ; 

预测 、 预 警 并 对 抗 降低 、 规 避 和 转移 各 种 可 能 的 风险 。 


. 实用 性 和 标准 化 


信息 系统 的 通信 和 应 用 程序 尽 可 能 采用 开放 的 标准 化 技术 或 协议 ,增强 可 移植 性 和 
互 操作 性 ; 

使 用 便于 交流 和 沟通 的 公共 语言 进行 安全 需求 的 开发 ; 

设计 的 新 技术 安全 机 制 或 措施 要 确保 系统 平稳 过 渡 ,并 保证 局 部 采用 的 新 技术 不 会 
引起 系统 的 全 局 性 调整 ,或 引发 新 的 脆弱 点 ; 

尽量 简化 操作 ,以 减少 误 操 作 带 来 新 的 风险 。 


4.4 


4.4.1 
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. 保护 层次 化 和 系统 化 


识别 并 预测 普遍 性 故障 和 脆弱 性 ; 

实现 分 层 的 安全 保护 ( 逐 层 确保 没有 遗留 的 脆弱 点 未 被 识别 ); 

设计 和 运行 的 信息 系统 对 入 侵 或 攻击 应 具有 必要 的 识别 .阻止 和 对 抗 能 力 ,以 及 对 
故障 和 遭 到 攻击 后 的 响应 和 恢复 能 力 ; 

提供 对 信息 系统 各 个 组 成 部 分 ( 子 系统 或 组 件 ) 的 体系 性 安全 保护 ,使 信息 系统 面 对 
预期 的 威胁 具有 持续 阻止 、 对 抗 和 恢复 能 力 ; 

对 状态 和 事件 进行 检测 监控 ,容忍 可 以 接受 的 风险 ,拒绝 绝对 安全 的 策略 ; 

隔离 公共 可 访问 资源 与 关键 业务 资源 ,隔离 措施 根据 信息 系统 的 安全 等 级 保护 需要 
可 以 是 物理 的 或 逻辑 的 ; 

根据 信息 系统 的 安全 等 级 保护 需要 ,采用 物理 的 或 逻辑 的 方法 将 承载 信息 处 理 系 统 
的 局 域 网 络 与 公共 网 络 或 外 部 网 络 进行 隔离 ; 

设计 并 实现 审计 机 制 , 以 检测 非 授 权 和 越权 使 用 系统 资源 并 支持 事故 调查 和 责任 认定 ; 
开发 意外 事故 和 安全 事件 处 置 或 灾难 恢复 规程 ,并 组 织 学 习 和 演练 。 


.降低 复杂 度 


安全 机 制 或 措施 力求 简单 、 实 用 ; 

尽量 减少 可 信 计 算 系 统 的 组 件 ; 

实现 最 小 访问 权 控 制 ; 

消除 不 必要 的 安全 机 制 或 安全 服务 的 交叉 覆盖 或 元 余 ; 
对 开机 一 处 理 一 关机 全 程 进行 安全 控制 。 


. 安全 设计 结构 化 


通过 对 物理 的 和 催 辑 的 安全 措施 进行 合理 组 合 ,实现 系统 安全 体系 设计 的 结构 
优化 ; 

所 配置 的 基础 性 和 支撑 性 安全 设施 或 安全 服务 措施 可 由 多 个 安全 域 共享 ; 

对 用 户 和 进程 使 用 鉴别 技术 ,以 确保 在 域内 和 跨 域 间 的 访问 进程 得 到 控制 ; 

对 实体 进行 标识 ,以 确保 操作 责任 的 可 追究 性 和 可 确认 性 。 


安全 过 程 管理 与 OSI 安全 管理 的 关系 


安全 过 程 管 理 


国际 标准 化 组 织 (International Organization for Standardization ,ISO) 曾 为 开放 互 连 系 
统 安全 体系 结构 制定 ISO/IEC 7498-2-1995(Information Processing System-Open Systems 
Interconnection-Basic Reference Model-Part 2: Security Architecture) 的 技术 标准 文件 ,由 
我 国 等 同 采用 为 GB/T 9387. 2 一 1995( 信 息 处 理 系统 开放 系统 互 连 基 本 参考 模型 第 2 部 
分 安全 体系 结构 ) ,这 是 开放 系统 互 连 (Open System Interconnection ,OSI) 安全 管理 的 理论 
基础 或 方法 论 的 指导 性 技术 文件 。 

各 种 类 型 的 组 织 机 构 和 单位 在 开放 互 连 的 网 络 环境 下 建立 和 运行 自己 的 信息 系统 ,并 
依赖 它们 处 理 其 管理 与 业务 活动 ,或 提供 信息 服务 。 显 然 , 信 息 及 信息 系统 资源 的 机 密 性 、 
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完整 性 可用性、 不 可 抵赖 性 .可 确认 性 和 可 靠 性 等 特性 的 缺失 会 对 这 些 组 织造 成 有 形 和 无 
形 的 影响 。 巾 于 开放 互 连 的 网 络 采用 了 开放 性 和 标准 化 的 通信 和 应 用 协议 ,一 方面 为 信息 
系统 之 间 的 信息 共享 和 相互 交流 以 及 应 用 程序 的 可 移植 性 和 互 操作 性 提供 了 技术 实现 上 的 
方便 性 ; 另 一 方面 ,也 为 未 授权 和 越权 访问 信息 资源 提供 了 客观 的 条 件 , 更 为 对 信息 系统 心 
怀 敌 意 的 企图 留 下 入 侵 或 攻击 的 途径 ,因此 必须 采取 相应 的 安全 技术 措施 保护 信息 及 信息 
系统 的 这 些 安全 特性 。 
信息 系统 安全 管理 是 实现 和 维持 信息 及 信息 系统 资源 适当 保护 等 级 的 机 密 性 、 完 整 性 、 
可 用 人 性 ,不 可 抵赖 性 .可 确认 性 和 可 靠 性 的 一 个 过 程 。 信 息 系统 安全 管理 的 内 容 包括 分 析 系 
统 资产 (的 分 布 ) ,分 析 针 对 系统 资产 的 风险 ,确定 安全 需求 ,制定 满足 这 些 安全 需求 的 安全 
策略 ,依照 过 程 管理 的 方法 对 信息 系统 生命 周期 的 安全 进行 管理 。 信 息 系统 安全 管理 行为 
或 活动 主要 包括 以 下 方面 : 
。 制定 信息 安全 规划 ,决定 组 织 的 信息 系统 安全 目标 、 方 针 和 策略 ; 
。 识别 信息 系统 内 信息 资产 的 分 布 情况 ; 
识别 出 信息 系统 资产 中 存在 的 安全 脆弱 性 或 缺陷 ; 
识别 出 信息 系统 资产 的 安全 脆弱 性 或 缺陷 面临 的 安全 威胁 ; 
。 评估 安全 威胁 针对 安全 脆弱 性 或 缺陷 可 能 造成 的 (有 形 的 和 无 形 的 ) 影 响 , 即 产生 的 
后 果 ; 
。 综合 分 析出 信息 系统 面临 的 风险 (风险 点 分 布 及 风险 强度 )， 
。 确定 组 织 的 信息 系统 安全 需求 ; 
。 通过 构建 管理 与 技术 相 结 合 的 积极 防御 体系 来 对 抗 、 降 低 、 规 避 和 转移 风险 ; 
。 识别 信息 系统 存在 的 残留 风险 ,并 评估 这 些 残留 风险 的 影响 ; 
。 为 了 了 解 和 掌握 信息 系统 安全 保障 体系 的 效能 ,检测 安全 措施 的 实现 和 运行 情况 ， 
。 定期 或 根据 信息 系统 变化 情况 周期 性 地 对 风险 进行 全 局 的 或 局 部 的 重新 评估 ,并 据 
此 调整 安全 需求 和 风险 管理 策略 ,从 管理 和 技术 的 结合 上 修订 安全 措施 ,使 系统 的 
残留 风险 是 可 以 接受 的 ,或 可 以 管控 的 ; 
。 安全 管理 活动 还 应 实施 对 安全 事件 的 及 时 检测 审计、 响应 和 告警 ,实现 对 安全 事件 
的 事前 预警 事 中 控制 和 事后 的 恢复 与 责任 认定 ; 
。 设计 并 实施 信息 系统 备份 和 灾难 恢复 工程 ,制定 灾难 恢复 的 培训 计划 并 组 织 演练 
。 开发 和 实施 可 提高 安全 意识 的 培训 计划 和 教材 。 


4.4.2 OSI 管理 


OSICOpen System Interconnection, 开 放 系 统 互 连 ) 管 理 包 括 对 开放 互 连 信息 系统 的 故障 管 
理 , 计 账 管理 ,配置 管理 ,性 能 管理 和 安全 管理 5 个 类 型 的 管理 活动 ,这 些 管 理 活动 并 不 承担 在 
OSI 环境 中 完成 网 络 通信 的 具体 任务 ,而 是 对 网 络 通信 有 关 的 资源 进行 监视 ,控制 和 协调 。 

1. 故障 管理 

故障 管理 包括 对 OSI 环境 中 的 异常 网 络 通信 故障 进行 检测 .隔离 和 纠正 。 这 些 故障 可 
能 导致 开放 系统 不 能 实现 运行 目标 ,故障 或 是 持续 性 的 ,或 是 暂时 的 。 故 障 在 开放 系统 运行 
中 作为 特殊 事件 (比如 连接 中 断 、 传 输 中 出 现 差 错 等 ) 处 理 , 故 障 检测 提供 识别 故障 的 能 力 。 
故障 管理 实现 下 列 功 能 : 


65 
第 4 章 管理 和 组 织 机 


。 维护 和 检查 故障 日 志 ; 
。 接收 和 处 理 故障 检测 报告 ; 
。 识别 和 跟踪 故障 ; 
实施 一 系列 诊断 性 测试 ; 
隔离 故障 点 或 故障 区 域 ; 
。 纠正 故障 行为 。 
2. 计 账 管理 
计 账 管理 是 对 使 用 OSI 环境 中 资源 的 费用 和 资源 的 耗费 情况 进行 建 账 ,识别 使 用 这 些 
资源 的 成 本 和 使 用 情况 。 计 账 管理 包括 下 列 功能 : 
。 通知 用 户 所 产生 的 成 本 和 所 耗费 的 资源 ; 
。 设置 账单 ,使 账目 表 和 资源 的 使 用 情况 相关 联 ; 
。 使 成 本 与 被 请 求 的 多 种 资源 相 一 致 ,进而 实现 设 定 的 通信 目标 。 
3. 配置 管理 
配置 管理 识别 .操作 和 控制 开放 互 连 的 信息 系统 ,从 开放 互 连 的 信息 系统 中 收集 并 为 其 
提供 运行 所 需 的 数据 。 其 目的 是 为 系统 或 组 件 的 初始 化 .启动 ,持续 性 运行 或 是 终止 连接 服 
务 提供 操作 数据 。 配 置 管理 包括 下 列 功 能 : 
对 控制 开放 互 连 信息 系统 的 路 由 操作 进行 参数 设置 ; 
。 将 被 管理 目标 和 目标 集 与 其 标识 (ID) 相 关联 ; 
。 对 被 管理 目标 进行 初始 化 ; 
。 按 需 收集 开放 互 连 信息 系统 运行 中 的 当前 状况 信息 ; 
获得 开放 互 连 信息 系统 发 生 重大 变更 的 说 明 ; 
对 开放 互 连 信息 系统 的 变更 进行 参数 配置 。 
4. 性 能 管理 
性 能 管理 激活 OSI 环境 中 的 网 络 资源 以 及 通信 活动 的 效力 。 性 能 管理 包括 下 列 功 能 : 
。 收集 网 络 资源 及 通信 活动 的 统计 信息 ; 
。 维护 和 检查 关于 开放 互 连 信息 系统 状态 的 历史 记录 ; 
。 自动 地 和 人 工 辅助 地 判断 开放 互 连 信息 系统 的 性 能 ; 
。 为 优化 性 能 管理 活动 变更 开放 互 连 信息 系统 运行 模式 。 
5. 安全 管理 
安全 管理 的 目的 是 支持 和 维持 开放 互 连 信息 系 统 中 安全 功能 的 策略 ,其 功能 如 下 : 
。 创建 修改、 删除 及 控制 安全 服务 和 机 制 ; 
。 发 布 安全 相关 信息 ; 
。 报告 安全 相关 事件 。 
在 本 书 中 ,OSI 管理 中 的 安全 管理 只 是 信息 安全 管理 中 的 一 部 分 。 


4.4.3 OSI 安全 管理 


OSI 安全 管理 包含 两 方面 ,与 OSI 有 关 的 安全 管理 和 OSI 管理 自身 的 安全 管理 。OSI 
安全 管理 本 身 并 不 执行 具体 应 用 业务 和 通信 中 的 安全 保障 活动 ,而 是 通过 创建 、 修 改 、 增 减 
安全 服务 和 机 制 支持 与 控制 这 些 应 用 业务 和 通信 中 的 安全 保障 功能 。 
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OSI 安全 管理 涉及 OSI 安全 服务 的 管理 与 安全 机 制 的 管理 。 这 种 管理 要 求 给 这 些 安 
全 服务 与 机 制 分 配 管理 信息 ,并 收集 与 这 些 服务 和 机 制 的 运行 有 关 的 信息 。 例 如 密 钥 分 配 ， 
设置 行政 管理 强加 的 安全 参数 ,报告 正常 的 与 异常 的 事件 (审计 与 跟踪 ) ,以 及 安全 服务 的 激 
活 与 停止 。 安 全 管理 并 不 保证 在 调用 特定 安全 服务 协议 (例如 连接 请 求 的 参数 ) 中 传递 与 安 
全 有 关 的 信息 的 安全 ,这 些 信息 的 安全 应 由 安全 服务 来 提供 。 
由 分 布 式 开放 系统 的 行政 管理 强加 的 安全 策略 可 以 因 开放 互 连 信息 系统 的 具体 情况 有 
所 不 同 , 但 OSI 安全 管理 应 该 支持 这 些 策略 。 
OSI 安全 管理 活动 可 分 为 下 面 四 类 : 
系统 安全 管理 ; 
。 安全 服务 管理 ; 
。 安全 机 制 管理 ; 
。 OSI 管理 的 安全 管理 。 
这 几 类 安全 管理 执行 的 关键 功能 概述 如 下 。 
1. 系统 安全 管理 
系统 安全 管理 的 典型 活动 包括 以 下 方面 : 
。 总 体 安全 策略 的 管理 ,包括 策略 一 致 性 的 修改 与 维护 ; 
与 其 他 的 OSI 管理 功能 的 相互 作用 ; 
。 与 安全 服务 管理 和 安全 机 制 管理 的 交互 作用 ; 
。 事件 处 理 管理 ,例如 远程 报告 那些 违反 系统 安全 的 明显 企图 ,以 及 对 用 来 触发 事件 
报告 的 阔 值 的 修改 。 
。 安全 审计 管理 。 
=- 选择 将 被 记录 和 被 远程 收集 的 事件 ， 
=- 授予 或 取消 对 所 选 事件 进行 审计 跟踪 日 志 记录 的 能 力 ， 
=- 审计 记录 的 远程 收集 ; 
一 准备 安全 审计 报告 。 
。 安全 恢复 管理 。 
=- 维护 那些 用 来 对 确定 的 或 可 疑 的 安全 事件 作出 应 急 响应 的 规则 ; 
一 对 远程 报告 的 违规 行为 或 事件 予以 响应 ; 
=- 安全 管理 者 之 间 的 交互 。 
2. 安全 服务 管理 
安全 服务 管理 涉及 对 具体 安全 服务 功能 的 管理 。 下 列 行 为 是 在 管理 具体 安全 服务 功能 
时 可 能 执行 的 典型 活动 : 
。 将 特定 的 安全 服务 与 其 满足 的 一 个 或 多 个 安全 保护 的 目标 关联 ; 
。 指定 与 维护 可 供 选 择 的 规则 (存在 可 选 情况 时 ) ,用 于 选取 为 提供 所 需 安全 服务 而 使 
用 的 特定 的 安全 机 制 ; 
。 对 那些 需要 事先 取得 管理 层 同 意 的 安全 服务 可 用 安全 机 制 进行 沟通 与 协调 (本 地 的 
与 远程 的 ,自动 的 或 人 工 的 ); 
。 通过 适当 的 安全 管理 行为 调用 特定 的 安全 服务 ,例如 为 系统 提供 行政 管理 强加 的 安 
全 服务 ; 
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。 与 其 他 安全 服务 管理 功能 和 安全 机 制 管 理 功能 的 交互 。 

3. 安全 机 制 管理 

安全 机 制 管理 涉及 密 钥 管理 .加密 管理 .数字 签名 管理 ,访问 控制 管理 .数据 完整 性 管 
理 , 鉴 别管 理 .通信 业务 填充 管理 .路 由 选择 控制 管理 以 及 公证 管理 等 ,下 面 分 别 予 以 介绍 。 

1) 密 钥 管理 

。 周期 性 地 产生 与 所 要 求 的 安全 保护 等 级 相当 的 合适 密 钥 ; 

。 根据 访问 控制 的 要 求 将 产生 的 每 个 密 钥 复制 给 需要 的 实体 ; 

。 用 可 靠 办 法 使 这 些 密 钥 对 实 开放 系统 中 的 实体 实例 是 可 用 的 ,或 将 这 些 密 钥 分 配给 

它们 。 

应 该 强调 的 是 , 某 些 密 钥 管理 功能 将 在 OSI 环境 之 外 执行 ,例如 用 可 靠 手 段 分 配 密 钥 。 

工作 密 钥 的 选取 也 可 以 通过 访问 密 钥 分 配 中 心 来 完成 ,或 事先 通过 管理 协议 自动 地 或 
人 工地 进行 分 配 。 

2) 加 密 管理 

。 与 密 钥 管理 的 交互 作用 ; 

。 建立 密码 参数 ; 

。 密码 同步 。 

加 密 机 制 就 是 使 用 密码 管理 和 采用 协议 方式 来 调用 密码 算法 。 

可 使 用 密码 算法 寄存 器 或 在 实体 间 进 行 协商 ,以 调用 相同 的 密码 算法 。 

3) 数字 签名 管理 

数字 签名 管理 可 以 包括 以 下 方面 ; 

。 与 密 钥 管理 的 交互 作用 ; 

。 建立 密码 参数 与 密码 算法 ; 

。 在 通信 实体 与 可 信 的 第 三 方 之 间 使 用 协议 通信 。 

一 般 来 说 ,数字 签名 管理 与 加 密 管 理 相 类 似 。 

4) 访问 控制 管理 

访问 控制 管理 涉及 安全 参数 (包括 口令 ) 的 分 配 ,或 对 访问 控制 表 或 权力 表 进行 修改 ,也 
可 能 涉及 在 通信 实体 与 其 他 提供 访问 控制 服务 的 实体 之 间 使 用 协议 通信 。 

5) 数据 完整 性 管理 

数据 完整 性 管理 可 以 包括 以 下 方面 : 

。 与 密 钥 管理 的 交互 作用 ; 

。 建立 密码 参数 与 密码 算法 ; 

。 在 通信 的 实体 间 使 用 协议 通信 。 

当 对 数据 完整 性 使 用 密码 技术 时 ,其 管理 与 加 密 管理 相 类 似 。 

6) 鉴别 管理 

鉴别 管理 包括 将 说 明 信 息 .口令 或 密 钥 分 配给 请 求 执行 鉴别 的 实体 ,也 可 以 包括 在 通信 
的 实体 与 其 他 提供 鉴别 服务 的 实体 之 间 使 用 协议 通信 。 

7) 通信 业务 填充 管理 

通信 业务 填充 管理 包括 维护 那些 用 作 通 信 业 务 填充 的 规则 。 例 如 : 

。 预定 的 数据 率 ; 
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。 指定 随机 数据 率 ; 

。 指定 报 文 特性 ,例如 长 度 ; 

。 定期 变更 上 述 规则 ,例如 按 日 .时 或 日 历来 改变 这 些 规则 。 

8) 路 由 选择 控制 管理 

路 由 选择 控制 管理 涉及 确定 那些 按 特 定 准 则 才能 被 认为 是 安全 可 靠 或 可 信任 的 链 路 或 
子 网 络 。 

9) 公证 管理 

公证 管理 可 以 包括 以 下 方面 : 

。 分配 有 关公 证 的 信息 ; 

。 在 公证 方 与 通信 的 实体 之 间 使 用 协议 通信 ; 

。 公证 方 之 间 的 交互 。 

4. OSI 管理 的 安全 管理 

OSI 管理 的 安全 管理 包括 对 所 有 OSI 管理 功能 的 安全 管理 以 及 OSI 管理 信息 的 通信 
安全 ,它们 是 OSI 安全 的 重要 部 分 ,将 通过 适当 地 选取 OSI 安全 服务 与 机 制 确保 OSI 管理 
协议 与 信息 获得 足够 的 保护 。 例 如 ,在 管理 信息 库 的 管理 实体 之 间 的 通信 一 般 要 求 进行 某 
种 形式 的 保护 。 


4.5 信息 安全 管理 的 组 织 机 构 


信息 安全 管理 的 组 织 机 构 大 致 可 以 分 为 两 类 ,一 类 是 行政 管理 机 构 , 它 是 一 个 战略 规 
划 、 政 策 指导 和 协调 类 型 的 机 构 ; 另 一 类 是 技术 服务 .应 急 响应 和 技术 支持 类 型 的 管理 
机 构 。 


4.5.1 行政 管理 机 构 


国家 层面 的 网 络 安全 和 信息 化 领导 机 构 统一 规划 国家 信息 安全 管理 战略 ; 综合 协调 涉 
及 各 个 领域 的 信息 化 和 信息 安全 管理 工作 ; 协调 解决 计算 机 网 络 与 信息 安全 管理 方面 的 重 
大 问题 。 国 家 各 部 委 和 专门 机 构 分 别 各 司 其 职 , 其 中 : 
。 国 家 密码 管理 委员 会 负责 各 类 密码 的 管理 工作 ; 
。 国家 保密 局 负责 涉 密 网 络 和 信息 系统 的 管理 ; 
。 国家 安全 部 负责 计算 机 网 络 信息 安 全 管理 中 涉及 国家 安全 的 事项 ; 
公安 部 负责 维护 网 络 公共 秩序 ,打击 利用 计算 机 网 络 进行 的 旨 在 破坏 社会 稳定 、 侵 
犯 个 人 和 公共 财产 安全 的 犯罪 ; 
工业 与 信息 化 部 负责 计算 机 网 络 信息 安全 产业 管理 工作 ; 
。 教育 部 负责 信息 安全 学 科 体 系 、 专 业 和 培训 机 构建 设 ,以 及 信息 安全 学 历 和 非 学 历 
人 才 培 养 。 
。 国家 认证 认可 委员 会 负责 规划 和 协调 全 国信 息 安 全 产品 和 服务 类 型 测试 .评估 和 认 
证 工作 。 
国家 有 关机 构 既 有 分 工 , 又 加 强 配 合 , 在 国家 层面 的 网 络 安全 和 信息 化 领导 机 构 的 统一 
领导 和 协调 下 共同 完成 我 国信 息 安全 管理 工作 。 
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4.5.2 信息 安全 服务 与 技术 管理 机 构 


1. 国家 技术 标准 体系 的 管理 机 构 
国家 技术 标准 体系 是 我 国 发 展 信息 安 全 技术 ,完善 自主 知识 产权 的 信息 安全 技术 的 重 
要 法 规 , 是 从 国家 意志 层面 规范 信息 安全 体系 结构 .技术 要 素 和 交流 语言 的 通用 法 则 。 国 家 
信息 安全 技术 标准 体系 的 管理 机 构 是 国家 质量 监督 检验 检疫 总 局 ,负责 组 织 起 草 并 颁布 与 
信息 安全 有 关 的 国家 标准 。 在 此 基础 上 ,国家 和 政府 有 关 部 门 以 及 信息 安全 企业 可 进一步 
制定 符合 中 国 国 情 的 法 规 和 技术 细则 。 
2. 信息 安全 测评 与 认证 体系 的 管理 机 构 
国家 信息 安全 测评 与 认证 体系 包括 对 密码 与 非 密码 、 涉 密 与 非 涉 密 的 涉及 机 密 性 、 完 整 
性 和 可 用 性 的 各 类 产品 及 系统 以 及 计算 机 病毒 防范 、 查 杀 产 品 和 系统 的 安全 适用 性 与 安全 
等 级 的 符合 度 进行 测试 和 认证 。 这 些 测 试 和 认证 工作 在 国家 认证 和 认可 委员 会 的 统一 协调 
下 由 分 布 在 若干 由 国家 或 政府 指定 或 授权 的 测试 .评估 和 认证 机 构 承 担 。 
3. 应 急 响 应 的 管理 机 构 
应 急 响应 体系 是 我 国信 息 安全 应 急 响 应 处 理 和 技术 支持 的 工作 体系 。 应 急 响应 体系 保 
证 国家 基础 网 络 设施 和 重要 信息 系统 在 网 络 恺 怖 活动 或 公共 网 络 突 发 事件 影响 下 的 生存 能 
力 和 快速 恢复 能 力 。 国 家 信息 安全 应 急 管理 机 构 包 括 : 
。 国家 信息 安全 应 急 处 理 协调 委员 会 及 其 专职 办 公 室 ,负责 组 织 制 定 应 急 处 理 的 方 
针 、 政 策 ,法 规 和 技术 标准 (如 国家 应 急 处 理 管理 条 例 、 应 急 服 务 组 织 的 资质 认证 和 
管理 条 例 、 国 家 应 急 响应 等 级 标准 ,保护 目标 的 安全 等 级 标准 、 应 急 处 理 指标 体系 
等 ) ,培育 和 保持 一 支 应 急 处 理 网 络 突 发 事件 和 网 络 恐 怖 活动 的 专业 队伍 ,协调 国家 
各 安全 主管 部 门 处 理 信 息 安全 紧急 或 突 发 事件 ,组 织 跨 部 门 信 息 安 全 重大 应 急 
行动 ; 
。 国家 信息 安全 应 急 处 理 支援 中 心 和 国家 应 急 信 息 交 换 中 心 , 以 及 各 行业 与 地 区 的 对 
口 应 急 机 构 ,其 职能 包括 应 急 信息 汇集 和 交换 应急 资源 的 协调 与 调度 .保护 目标 的 
信息 安全 档案 管理 .人 侵 检测 与 系统 恢复 .跟踪 与 取证 、 安 全 预警 信息 分 析 与 发 布 、 
信息 安全 情报 协商 与 上 报 。 
4. 计算 机 病毒 防治 机 构 
国家 设立 计算 机 病毒 应 急 处 理 中 心 开 展 计算 机 病毒 预警 和 防治 ,包括 收集 、 解 剖 和 分 析 
计算 机 病毒 信息 ,发 现 新 的 病毒 特征 并 发 出 预警 ; 提交 病毒 疫情 分 析 报 告 ; 发 布 计算 机 病 
毒 疫情 ; 为 受 计算 机 病毒 攻击 破坏 的 计算 机 用 户 提 供 后 援 服务 ; 培训 计算 机 病毒 防治 的 专 
业 技 术 人 员 等 。 
5. 安全 咨询 服务 管理 机 构 
安全 咨询 服务 指 在 规划 设计 实施、 运行 和 维护 直至 报废 的 信息 系统 整个 生命 周期 提 
供 对 开放 互 连 信息 系统 的 风险 分 析 和 安全 需求 分 析 , 以 及 安全 设计 、 安 全 检测 .安全 评估 以 
及 技术 培训 和 技术 支持 等 项 业务 ,以 保障 信息 系统 的 可 信 性 、 可 靠 性 、 可 用 性 、 可 控 性 和 可 核 
查 性 。 
国家 各 安全 主管 机 构 按 照 分 工 对 提供 安全 咨询 服务 的 企业 按照 涉 密 信息 系统 、 非 涉 密 
信息 系统 以 及 涉及 国家 安全 的 专项 服务 分 别 予 以 资质 认定 和 授权 管理 。 
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企 事业 法 人 单位 在 获得 相应 机 构 的 资质 审核 和 认定 后 ,可 从 事 信 息 安全 系统 集成 或 单 
项 信息 安全 服务 的 安全 咨询 服务 。 


4.6 习题 与 思考 题 


1. 信息 系统 生命 周期 各 阶段 的 主要 安全 管理 活动 有 哪些 ? 

2. 信息 系统 安全 保护 等 级 的 划分 原则 是 什么 ? 

3. 阐述 信息 系统 等 级 保护 与 分 级 保护 的 关系 和 区 别 。 

4. 简 述 信息 系统 等 级 保护 中 的 定 级 流程 。 

5. 使 用 密码 技术 应 遵从 哪些 规定 ? 

6. 一 个 定 级 为 3 级 的 信息 系统 必须 具备 哪些 条 件 才能 投入 运行 ? 

7. 与 信息 安全 等 级 保护 有 关 的 主管 机 关 有 哪些 ? 它们 分 别 实施 哪些 监管 活动 ? 
8. OSI 安全 管理 涉及 哪些 具体 的 管理 活动 ? 
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信息 安全 管理 活动 概述 


信息 安全 管理 活动 首先 要 对 组 织 的 信息 系统 安全 进行 规划 , 即 制定 信息 
系统 安全 的 目标 ,方针 和 策略 。 这 是 组 织 的 信息 系统 安全 过 程 管理 的 纲领 性 
指导 文件 ,在 这 些 文件 的 指导 下 开展 一 系列 管理 活动 ,包括 : 


. 


识别 和 分 配 组 织 内 承担 信息 系统 安全 的 角色 及 其 职责 ; 

资产 识别 和 风险 管理 ,包括 识别 信息 系统 资产 .识别 并 评估 风险 .确定 

安全 需求 .构建 信息 系统 安全 保障 体系 、 采 取 基于 策略 的 风险 对 抗 措 

施 等 各 项 活动 ， 

- 识别 信息 系统 资源 的 分 布 及 其 价值 ; 

- 识别 信息 系统 资源 的 脆弱 性 或 缺陷 ; 

- 识别 信息 系统 资源 脆弱 性 面临 的 潜在 威胁 ; 

- 识别 信息 系统 资源 脆弱 性 或 缺陷 被 成 功利 用 的 可 能 性 及 利用 后 对 

组 织造 成 的 影响 或 后 果 ; 

- 识别 风险 分 布 情况 及 其 强度 (等 级 值 ); 

-针对 风险 的 分 布 和 强度 确定 基于 策略 (对 抗 . 降 低 、 规 咒 或 转移 风险 
等 ) 的 安全 需求 对 应 列表 ,并 将 安全 需求 转换 成 在 网 络 层 、 传 输 层 、 
系统 层 、 用 户 层 和 运行 环境 中 具有 可 操作 性 的 安全 管理 或 安全 技术 
措施 ; 

- 评估 残留 风险 ,并 与 可 接受 风险 进行 比较 ,如 大 于 可 接受 风险 , 则 应 
进一步 采取 适当 的 安全 管理 和 安全 技术 措施 将 风险 降低 到 可 接受 
水 平 。 

监管。 

一 对 系统 中 出 现 的 安全 事件 进行 检测 并 予以 处 置 (例如 审计 、 告 警 , 必 
要 时 关闭 受到 威胁 或 攻击 的 信息 系统 的 部 分 资源 或 整个 系统 ) 

- 监控 信息 系统 安全 状态 ,使 信息 系统 安全 态势 符合 预期 。 
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。 配置 管理 。 
一 选取 和 配置 组 织 的 信息 系统 的 安全 技术 措施 ; 
一 按照 风险 控制 策略 配置 安全 设备 和 重要 信息 系统 资源 的 运行 参数 。 

。 变更 管理 。 

在 信息 系统 运行 和 维护 阶段 , 当 与 信息 系统 安全 有 关 的 法 律 规定 发 生 改变 ,组 织 对 信息 
系统 的 功能 /性 能 要 求 发 生 改变 ,信息 系统 自身 发 生 改 变 (系统 结构 调整 、 软 /硬件 更 新 .系统 
升级 换代 等 ) ,系统 运行 环境 发 生变 化 ,或 攻防 态势 发 生变 化 ,都 可 能 导致 残留 风险 扩大 , 因 
而 要 重新 对 信息 系统 安全 管理 的 各 环节 进行 审核 .调整 ,使 信息 系统 的 残留 风险 可 接受 。 

。 制定 安全 事件 处 理 策略 和 灾难 恢复 计划 ,并 组 织 演练 ; 

。 规划 和 制订 可 增强 信息 安全 意识 的 培训 教材 和 计划 ; 

。 其 他 活动 ,包括 : 

一 系统 维护 ; 
=- 安全 审计 ; 
-工程 监理 ; 等 等 。 

很 显然 ,组 织 的 安全 目标 、 方 针 和 策略 对 于 信息 系统 安全 过 程 管理 的 指导 意义 在 于 ,为 
有 效 管理 组 织 内 信息 系统 安全 过 程 中 的 每 一 个 环节 ,提出 所 要 达到 的 目标 、 达 到 目标 的 方法 
和 途径 ( 即 安全 方针 ) ,以 及 达到 目标 所 需 采 取 的 一 整套 规则 和 指令 ( 即 安全 策略 )。 

信息 系统 安全 目标 应 该 反映 组 织 的 行政 管理 强加 给 信息 系统 的 安全 要 求 ,并 且 遵 从 或 
考虑 各 种 来 自 组 织 的 信息 系统 外 的 约束 (例如 国家 法 律 法 规 、 技 术 规 范 、 社 会 文化 及 意识 形 
态 、 组 织 的 企业 文化 ,物理 的 和 人 文 的 环境 等 ) ,保证 在 各 个 层次 之 间 和 各 个 部 门 之 间 的 一 致 
性 。 安 全 目标 应 该 根据 定期 的 安全 性 评审 (如 风险 评估 、 安 全 有 效 性 审核 ) 结 果 以 及 业务 目 
标的 变化 进行 更 新 。 例 如 某 信 息 系统 按 其 所 属 机 构 的 国家 属性 ,其 工作 业务 流程 和 内 部 机 
构 信息 不 得 以 任何 形式 泄露 给 未 授权 者 ,此 即 该 信息 系统 的 安全 目标 之 一 。 

信息 系统 安全 方针 应 该 反映 实现 安全 目标 的 具有 可 实现 性 的 方法 和 途径 ,这 些 方法 和 
途径 表现 为 管理 的 和 技术 的 形式 。 为 实现 列举 的 安全 目标 ,其 安全 方针 应 当 将 信息 系统 与 
外 部 网 络 进行 适当 隔离 ,加强 内 部 岗位 管理 ,等 等 。 

一 个 组 织 的 信息 安全 策略 由 一 系列 具有 逻辑 关联 性 的 安全 规则 和 指令 组 成 。 这 些 信息 
安全 策略 必须 反映 组 织 的 安全 策略 ,并 服从 组 织 的 安全 策略 ,包括 信息 系统 的 所 有 者 、 管 理 
者 、 使 用 者 在 保障 信息 系统 安全 方面 的 权利 和 义务 的 一 致 性 与 平衡 性 。 按 安全 方针 制定 的 
信息 安全 策略 可 以 是 从 管理 上 为 每 个 岗位 制定 严格 的 操作 规程 ,从 技术 上 对 网 络 隔离 设备 
的 访问 控制 规则 进行 严格 配置 ,等 等 。 

信息 系统 的 安全 目标 ,方针 和 策略 一 般 使 用 有 别 于 技术 术语 的 语言 (通常 用 一 种 自然 的 
或 社会 化 的 语言 ) 来 表达 或 描述 ,但 也 可 能 采用 某 些 数学 语言 以 更 形式 化 的 方式 来 表达 。 这 
些 语言 表达 应 该 清楚 地 说 明 下 列 关 于 信息 系统 及 其 资源 属性 和 安全 特性 的 准确 含义 (不 造 
成 二 义 性 ): 

。 机 密 性 ; 

。 完整 性 ; 

。 可 用 性 ; 

。 抗 抵赖 性 ; 
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。 可 确认 (审查 ) 性 ; 

。 真实 性 ; 

。 可 控 性 ; 等 等 。 

安全 目标 方针 和 策略 将 帮助 组 织 建立 起 信息 系统 的 安全 保护 等 级 ,设置 可 接受 风险 的 
国 值 ( 等 级 水 平 ) 范 围 ,明确 提出 组 织 对 信息 系统 总 的 安全 要 求 , 指 出 达到 安全 要 求 的 方法 与 
途径 ,规定 实现 安全 要 求 的 规则 与 指令 。 

关于 信息 安全 目标 方针 和 策略 的 进一步 说 明 ,读者 可 结合 5. 4. 2. 1 节 的 内 容 深 入 理解 。 


5.2 安全 管理 的 对 象 


5.2.1 资产 


信息 安全 保护 的 对 象 也 是 信息 安全 管理 的 对 象 ,是 信息 系统 有 价值 的 资源 , 即 资产 ,这 
些 资产 概括 起 来 包括 : 

。 有 形 (物理 ) 资 产 ( 如 计算 机 及 其 外 围 硬件 .通信 设施 、 建 筑 物 .机 房 及 内 部 设施 等 ); 

。 信息 /数据 (如 文档 .数据 等 ) ; 

。 软件 (操作 系统 .通信 协议 和 应 用 程序 等 )， 

。 信息 系统 直接 生产 的 或 辅助 生产 的 产品 或 提供 服务 的 能 力 ; 

。 人 (管理 人 员 ,使 用 人 员 和 维护 人 员 ); 

。 无 形 资产 (信誉 .形象 .市场 份额 等 ); 等 等 。 

识别 资产 并 评估 资产 的 价值 是 风险 分 析 与 评估 的 依据 之 一 ,在 很 多 情况 下 需要 将 资产 
进行 编组 或 分 类 。 

应 该 考虑 信息 系统 资产 的 属性 ,这 些 属 性 包括 资产 的 量化 价值 和 敏感 程度 ,以 及 固有 的 
安全 特性 。 面 临 特定 威胁 的 脆弱 性 将 需要 增强 对 资产 的 保护 需求 ,系统 运行 的 环境 、 文 化 
背景 和 法 律 约束 也 可 能 对 资产 及 其 属性 的 保护 产生 不 同 影响 ,例如 在 有 些 环境 下 ,个 人 
信息 的 保护 显得 非常 重要 ,而 在 另 一 些 环境 下 ,个 人 信息 可 能 不 需要 保护 。 由 此 可 以 推 
断 , 环 境 、 文 化 和 法 律 差异 对 国际 性 组 织 及 在 跨国 间 使 用 的 信息 系统 的 安全 影响 的 区 别 
可 能 很 大 。 


5.2.2 脆弱 性 


与 资产 相关 的 脆弱 性 包括 在 物理 布局 ( 含 运 行 环境 ) 、 系 统 设计 、 施 工 组 织 与 管理 、 运 维 
过 程 管理 ,员工 、 规 章 制 度 、 硬 件 、 软 件 或 信息 中 的 弱点 或 缺陷。 这 些 弱 点 或 缺陷 都 有 可 能 被 
威胁 (风险 主体 ) 所 开发 或 直接 利用 而 损害 信息 系统 或 业务 目标 。 脆 弱 性 本 身 并 不 产生 危 
害 , 但 脆弱 性 是 威胁 对 资产 造成 危害 的 条 件 和 开发 利用 的 对 象 (风险 客体 )。 例 如 ,缺乏 访问 
控制 机 制 将 可 能 导致 入 侵 事 件 ,并 使 信息 资产 丢失 、 汇 露 或 损毁 。 必 须 认 识 到 ,脆弱 性 是 信 
息 系统 资产 固有 的 ,除非 资产 本 身 有 所 改变 使 脆弱 性 降低 或 消失 ,否则 脆弱 性 将 一 直 存在 。 
在 一 个 具体 的 信息 系统 中 ,不 是 所 有 的 脆弱 性 都 将 被 威胁 利用 。 脆 弱 性 如 果 存 在 对 应 的 威 
胁 , 则 必须 立即 识别 脆弱 性 的 存在 或 表现 形式 ,并 采取 措施 消除 或 降低 存在 的 脆弱 性 。 由 于 
环境 可 能 动态 地 变化 ,因此 应 该 监视 运行 环境 中 所 有 的 脆弱 性 ,以 便 识别 那些 已 经 暴露 给 旧 
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的 威胁 或 新 的 威胁 的 脆弱 性 。 

脆弱 性 分 析 是 对 那些 可 以 被 已 知 的 和 潜在 的 威胁 利用 的 弱点 或 缺陷 进行 测试 和 评估 ， 
在 分 析 过 程 中 必须 考虑 运行 环境 和 现 有 的 安全 措施 对 分 析 结 果 的 影响 。 

脆弱 性 的 测评 结果 可 以 用 较 粗 粒度 的 等 级 (例如 高 .中 和 低 ) 或 更 细 粒 度 的 等 级 来 表示 
其 严重 程度 的 差异 。 


5.2.3 威胁 


此 处 的 威胁 是 指 开 发 ,利用 信息 系统 资源 ( 产 ) 的 脆弱 性 或 缺陷 ,以 渗透 、 人 侵 和 攻击 等 
方式 对 某 一 、 某 些 信息 资产 或 整个 系统 的 机 密 性 、 完 整 性 和 可 用 性 等 进行 破坏 的 企图 或 可 
能 性 。 

威胁 具有 潜在 破坏 力 。 威 胁 所 产生 的 损害 来 源 于 内 部 或 外 部 威胁 主体 对 (正在 被 信息 
系统 或 服务 处 理 的 或 存储 的 ) 信 息 或 系统 组 件 的 直接 或 间接 攻击 ,例如 对 信息 的 未 经 授权 汇 
漏 、 修 改 . 庆 用 以 及 使 其 不 可 用 或 者 丢失 。 威 胁 利 用 资产 存在 的 脆弱 性 损害 资产 。 威 胁 可 以 
是 自然 或 人 为 的 ,也 可 以 是 存在 于 内 部 或 外 部 的 ,并 且 可 能 是 偶然 或 蓄意 存在 的 ,各 种 形式 
的 威胁 都 要 识别 出 来 并 对 其 危害 等 级 和 可 能 性 作出 评估 。 

表 5. 1 所 示 为 一 些 常 见 的 威胁 示例 。 


表 5.1 常见 威胁 示例 


人 为 威胁 
自然 威胁 
蓄 意 的 偶 然 的 
偷 听 错误 和 遗漏 地 震 
信息 修改 文件 删除 雷电 
系统 劫持 不 正确 的 路 由 洪灾 
恶意 代码 物理 事故 等 火灾 等 
偷窃 
暴力 攻击 等 
5.2.4 影响 


当 威 胁 成 功 实施 后 ,无论 损失 大 小 均 被 称 为 安全 事件 或 事件 。 事 件 的 直接 结果 可 能 是 
破坏 某 些 资 产 , 般 坏 信息 系统 ,以 及 丧失 机 密 性 、 完 整 性 、 可 用 性 、 抗 抵赖 性 、 可 确认 性 和 可 靠 
性 等 。 可 能 的 间接 影响 包括 财产 流失 ,市 场 份额 丢失 或 公司 形象 损坏 。 影 响 (Impact) 是 指 
威胁 成 功 实施 后 对 信息 系统 或 其 资源 所 造成 的 (以 有 形 和 无 形 的 、 货 币 化 和 非 货币 化 的 方式 
计算 的 ) 结 果 。 安 全 事件 发 生 的 频 度 也 是 评估 影响 的 重要 参数 ,特别 是 在 单个 事件 引起 的 危 
害 较 低 ,但 多 个 事件 所 累积 的 危害 很 大 时 ,需要 考虑 事件 的 发 生 频 度 。 对 影响 的 评估 是 风险 
评估 和 安全 措施 选择 的 重要 基础 性 工作 。 

有 很 多 方法 可 用 来 对 影响 进行 定性 和 定量 的 度量 ,例如 : 

。 财务 成 本 核算 ; 

。 对 其 严重 程度 设 定 一 个 经 验 性 的 数值 标 度 ,如 1 一 10; 

。 使 用 预定 义 的 表示 影响 程度 的 形容 词 来 度量 影响 的 程度 ,如 低 、 中 、 高 。 
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5.2.5 风险 


风险 用 来 描述 信息 系统 资产 的 脆弱 性 ,针对 这 些 脆 弱 性 的 威胁 企图 、 威 胁 成 功 的 可 能 性 
(概率 ) ,以 及 由 此 造成 的 影响 等 要 素 的 递 推 关系 ,风险 通过 评估 威胁 利用 资产 的 脆弱 性 对 组 
织 的 信息 系统 造成 危害 的 可 能 性 及 危害 的 后 果 来 度量 。 

一 个 威胁 或 多 个 威胁 可 以 利用 一 个 或 多 个 脆弱 性 , 虽 有 某 些 对 应 关系 ,但 一 般 并 无 固定 
的 对 应 关系 。 风 险 用 两 种 因素 的 组 合 来 度量 , 即 安全 事件 发 生 的 可 能 性 及 安全 事件 发 生 后 
造成 的 影响 。 资 产 、 脆 弱 性 \ 威 胁 和 安全 保护 措施 等 方面 的 任何 变动 都 可 以 对 风险 的 分 布 情 
况 和 风险 强度 ( 值 ) 产 生 影响 。 及 时 地 检测 或 识别 环境 或 系统 的 变动 能 增加 识别 风险 的 机 
会 ,以 便 采取 措施 减少 风险 。 


5.2.6 残留 风险 


通常 ,采取 将 管理 和 技术 相 结合 的 安全 保护 措施 后 ,风险 可 以 被 降低 、 规 避 或 转移 。 如 
果 要 对 抗 更 多 的 风险 ,就 需要 更 多 的 安全 资源 开销 。 实 际 上 ,信息 系统 不 可 能 是 零 风险 ,都 
会 存在 残留 风险 ,但 残留 风险 必须 对 保证 信息 系统 业务 的 持续 服务 能 力 来 说 是 可 以 容忍 的 ， 
即 通常 说 的 可 接受 。 因 此 信息 系统 安全 的 方法 并 不 在 于 追求 零 风 险 , 而 在 于 获得 适度 的 安 
全 保护 水 平 ,或 将 风险 降低 到 可 接受 程度 。 判 断 现 有 的 安全 保护 措施 是 否 有 效 和 充分 的 依 
据 的 就 是 残留 风险 是 否 可 以 接受 。 

信息 系统 的 安全 管理 机 构 应 该 意识 到 所 有 残留 风险 可 能 带 来 的 影响 以 及 发 生 安全 事件 
的 可 能 性 。 是 否 接受 残留 风险 是 由 安全 管理 机 构 及 其 负责 人 决定 的 ,他 ( 们 ) 将 承担 由 于 安 
全 事件 发 生 所 造成 后 果 的 责任 。 当 信息 系统 不 能 接受 残留 风险 时 ,安全 管理 机 构 及 其 负责 
人 应 该 授权 实施 附加 的 安全 保护 措施 或 调整 安全 策略 ,以 降低 残留 风险 到 可 接受 的 水 平 。 


5.2.7 安全 措施 


安全 措施 是 保障 信息 安全 的 技术 和 管理 的 实践 .过 程 或 者 机 制 的 通称 ,用 来 消除 或 减少 
脆弱 性 ,对抗 威胁 ,限制 安全 事件 的 发 生 和 影响 ,检测 安全 事件 和 促进 恢复 活动 。 有 效 的 安 
全 保护 体系 通常 需要 综合 使 用 多 种 不 同 的 安全 措施 ,为 信息 系统 资产 提供 必要 而 充分 的 一 
层 或 多 层 安全 保护 服务 。 

安全 措施 对 于 信息 系统 安全 保障 的 作用 和 功能 在 于 : 

”消除 或 减少 信息 系统 资产 的 脆弱 性 ; 

。 防范 不 期 望 事件 或 行为 的 发 生 ; 

。 威慑 蓄意 或 敌意 的 入侵、 攻击 和 破坏 企图 ; 

。 检 测 入 侵 和 攻击 行为 .事件 并 发 出 预警 和 告警 ; 

。 限制 不 期 望 事件 的 扩大 和 不 良 影响 ; 

。 修正 /校正 /增强 已 有 安全 措施 ,使 之 满足 安全 要 求 ; 

。 恢复 设 备 或 系统 的 正常 运行 能 力 ; 

。 监视 信息 系统 关键 业务 设施 的 安全 运行 状态 。 

选择 合适 的 安全 措施 对 于 正确 地 实现 安全 解决 方案 是 极为 重要 的 。 
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5.2.8 约束 


约束 通常 由 组 织 的 管理 者 根据 国家 法 律 和 系统 的 具体 情况 设 定 ,并 且 受 组 织 外 的 因素 
和 信息 系统 运行 环境 的 影响 。 常 见 的 约束 如 下 : 

。 组织 的 结构 与 机 构 ; 

。 业务 运行 流程 ; 

。 财务 计划 及 执行 ; 
运行 环境 ; 
。 员工 素质 ; 
。 时 间 段 或 周期 ; 
法 律 规定 及 强制 性 制度 ; 
技术 规范 和 标准 ; 

。 文 化 /社会 背景 及 和 谐 程度 。 

当选 择 并 实现 安全 措施 时 应 考虑 进行 以 下 活动 : 定期 复核 现 有 的 或 新 的 约束 ,并 识别 约 
束 的 变更 。 约 束 可 能 随 着 时 间 、 地 理 位 置 、 社 会 环境 和 组 织 文化 的 变化 而 变化 。 信 息 系 统 运行 
的 环境 和 企业 文化 将 对 一 些 安全 要 素 ( 特 别 是 威胁 、 风 险 和 安全 措施 ) 产 生 影响 或 重大 影响 。 


5.3 安全 管理 模型 


信息 安全 管理 有 多 种 模型 或 模式 ,各 种 模型 都 是 从 不 同 角度 构建 的 ,都 有 各 自 特别 适用 
的 范围 或 对 象 ,但 各 种 模型 所 提出 的 安全 管理 概念 都 有 利于 对 信息 安全 管理 的 原理 和 实践 
进行 理解 。 归 纳 起 来 ,目前 较为 流行 的 模型 有 以 下 几 种 : 

。 安全 要 素 关 系 模型 ， 

。 风险 要 素 关系 模型 ; 

。 基于 过 程 的 风险 管理 模型 ; 

。 PDCA(Plan-Do-Check-Act) 模 型 。 

上 述 概念 模型 和 组 织 的 业务 目标 一 起 可 形成 一 个 对 组 织 的 信息 安全 目标 .方针 和 策略 
的 安全 管理 轮廓 。 信 息 安全 的 整体 目标 就 是 保证 组 织 的 信息 系统 能 够 安全 地 运行 ,并 且 将 
风险 控制 在 可 以 接受 的 程度 。 任 何 安全 措施 都 不 是 万 能 的 ,也 不 是 对 任何 风险 都 是 完全 有 
效 的 ,因此 需要 规划 和 实施 预防 意外 事件 的 数据 备份 或 系统 备份 ,以 及 事件 发 生 后 的 恢复 计 
划 , 构 建 可 将 损坏 程度 限制 在 一 定 范围 的 安全 保障 体系 。 


5.3.1 安全 要 素 关 系 模型 


信息 系统 安全 是 一 个 需要 从 不 同方 面 来 观察 和 研究 的 多 维 问题 。 为 了 确定 和 实现 一 个 
全 局 的 一 致 的 信息 安全 方针 和 策略 ,一 个 组 织 应 该 考虑 与 之 相关 的 所 有 方面 的 问题 。 
图 5. 1 说 明了 资产 可 能 受到 大 量 潜在 威胁 的 情况 。 一 般 来 说 ,这 些 威胁 的 集合 总 是 随时 间 
变化 的 ,并 且 只 有 部 分 是 已 知 的 或 可 以 预见 的 。 

这 一 模型 表示 的 含义 如 下 : 

。 环境、 约束 和 威胁 ,其 中 环境 情况 和 约束 条 件 是 相对 稳定 的 ,并 且 其 变化 是 可 以 预见 


到 
第 5 章 信息 安全 管理 方法 与 过 | 


的 ,威胁 则 是 动态 变化 的 ,并 且 只 有 部 分 是 已 知 的 或 可 以 预见 的 ; 
。 应 予 保护 的 组 织 的 信息 系统 资产 及 其 价值 ; 
。 这 些 资 产 存在 的 脆弱 性 ; 
。 为 保护 资产 、 消 除 或 减少 脆弱 性 、 降 低 风险 所 选择 的 安全 保护 措施 ; 
。 评估 可 接受 的 残留 风险 。 


约束 


RR 一 残留 风险 
S 一 安全 措施 
威 


5.1 安全 要 素 之 间 的 关系 


如 图 5. 1 所 示 ,一 些 安 全 措施 (S) 可 以 在 降低 与 多 种 威胁 CT) 和 多 种 脆弱 性 (V) 相 关联 
的 风险 CR) 中 起 作用 。 有 时 需要 几 种 安全 措施 才能 保证 残留 风险 (RR) 是 可 接受 的 。 在 残 
留 风 险 经 过 评估 并 认为 是 可 接受 的 情况 下 ,即使 出 现 威胁 ,也 无 必要 采取 额外 安全 措施 ,但 
应 加 强 监视 ; 在 另外 一 些 情 况 下 可 能 存在 某 种 脆弱 性 ,但 没有 已 知 的 威胁 利用 它 , 可 以 采用 
一 些 安全 措施 来 监视 威胁 实施 的 环境 ,以 确保 没有 威胁 能 开发 或 利用 该 脆弱 性 。 模 型 中 的 
约束 (C) 可 以 影响 安全 措施 的 选择 。 

这 一 概念 模型 展示 了 需 保 护 的 信息 系统 资产 及 其 价值 .脆弱 性 、 威 胁 、 风险、 残留 风险 ,以 
及 环境 和 约束 等 安全 要 素 之 间 的 关系 ,提供 了 一 种 围绕 资产 及 其 价值 进行 安全 管理 的 思路 。 


5.3.2 风险 要 素 关 系 模型 


图 5. 2 阐述 了 与 风险 相关 的 安全 要 素 之 间 的 关系 。 为 了 简单 .清晰 起 见 , 这 里 只 表示 了 
主要 关系 。 

信息 系统 的 资产 可 能 存在 风险 ,例如 信息 的 未 授权 泄漏 、 修 改 、 不 可 用 和 抵赖 ,信息 服务 
的 不 可 用 或 能 力 降 低 等 。 对 于 这 些 风险 ,首先 要 识别 出 资产 真实 的 价值 ,然后 要 考虑 哪些 威 
胁 可 能 会 造成 影响 ,进一步 , 反 过 来 考察 哪些 脆弱 性 可 能 会 被 这 些 威胁 利用 ,造成 影响 ,以 及 
它们 发 生 的 可 能 性 有 多 大 。 根 据 资产 的 价值 .脆弱 性 的 严重 程度 以 及 威胁 的 等 级 确定 出 风 
险 大 小 。 对 风险 的 识别 和 度量 能 够 导出 整个 安全 保护 需求 ,并 通过 安全 措施 的 实现 来 满足 。 
安全 措施 的 实施 可 以 对 抗 威胁 ,并 减少 风险 。 

这 一 概念 模型 从 风险 要 素 之 间 的 逻辑 关系 方面 提供 了 围绕 风险 要 素 进行 安全 管理 的 思 
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威胁 脆弱 性 
增加 增加 
安全 措施 减少 风险 资产 
增加 
价值 


5.2 风险 要 素 关系 模型 


路 。 这 一 模型 与 图 5. 1 所 示 的 模型 比较 ,在 风险 控制 成 本 与 被 保护 的 资产 价值 之 间 考 虑 了 平衡 。 
图 5. 3 和 图 5. 4 分 别 说 明了 资产 、 保 护 需求 和 威胁 ,脆弱 性 之 间 的 逻辑 关系 。 
图 5. 3 说 明 保护 需求 源 于 资产 及 其 价值 ,重点 考虑 了 威胁 利用 脆弱 性 对 资产 构成 的 风 
险情 况 ,三 者 之 间 建 立 了 在 考虑 威胁 因素 情况 下 关于 保护 成 本 与 资产 价值 的 平衡 关系 。 


保护 需求 


图 5.3 资产 与 保护 需求 的 关系 示意 


图 5.4 说 明 保护 需求 源 于 资产 及 其 价值 ,重点 考虑 了 由 于 资产 脆弱 性 引起 的 风险 情况 ， 
三 者 之 间 建 立 了 在 考虑 资产 脆弱 性 情况 下 关于 保护 成 本 与 资产 价值 的 平衡 关系 。 


图 5.4 资产 脆弱 性 、 资 产 价值 和 保护 需求 的 关系 示意 
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5.3.3 基于 过 程 的 风险 管理 模型 


基于 过 程 的 风险 管理 是 一 个 由 许多 子 过 程 组 成 的 系统 工程 。 其 中 一 些 过 程 ,例如 配置 
管理 和 变更 管理 ,可 以 用 来 控制 安全 以 外 的 其 他 过 程 。 经验 表明 ,过 程 风险 管理 及 其 风险 分 
析 子 过 程 在 信息 安全 管理 中 极其 有 用 。 图 5. 5 说 明了 基于 过 程 的 风险 管理 的 几 个 方面 , 包 
括 风险 分 析 、 变 更 管理 .配置 管理 和 风险 调控 等 。 


出 
i 网 隐 分 析 
责任 分 配 与 确认 
监控 
安全 意识 
配置 管理 
| 赤 责 管理 
务 持 续 管 理 nh 
仿 调 控 方针 
风险 调控 上 译 


图 5.5 基于 过 程 的 风险 管理 


风险 管理 是 一 个 基于 可 接受 成 本 的 、 对 影响 信息 系统 安全 的 风险 进行 识别 、 控 制 .最 小 
化 或 消除 的 过 程 。 风 险 管理 根据 评估 的 风险 与 保护 效能 和 保护 成 本 的 比较 ,综合 考虑 不 同 
类 型 的 安全 措施 及 配置 这 些 措施 所 花费 的 代价 以 及 从 保护 中 获得 的 利益 之 间 的 平衡 关系 ， 
然后 制定 出 与 组 织 的 信息 安全 策略 和 业务 目标 相 一 致 的 信息 系统 安全 方针 和 实现 策略 。 安 
全 措施 的 选择 与 风险 有 关 。 可 接受 的 残留 风险 的 等 级 是 风险 评估 的 基础 。 重 要 的 是 ,要 在 
识别 和 实现 安全 措施 过 程 中 对 所 耗费 的 最 小 成 本 和 组 织 所 拥有 的 资源 价值 之 间 取 得 平衡 ， 
也 就 是 说 信息 系统 的 安全 保护 要 适度 。 

风险 管理 是 一 系列 渐进 的 活动 。 对 于 新 系统 或 者 计划 阶段 中 的 系统 来 说 ,要 准备 将 
风险 管理 贯穿 到 设计 、 开 发 和 系统 运 维 过 程 中 。 对 于 已 经 存在 的 系统 ,应 该 适时 引入 风 
险 管理 。 而 当 计 划 对 系统 进行 重大 变更 时 ,风险 管理 应 该 成 为 这 一 变更 计划 的 一 部 分 。 
风险 管理 应 该 考虑 一 个 组 织 中 的 所 有 信息 处 理 系统 ,而 不 应 该 孤立 地 应 用 到 某 一 个 系 
统 。 同 时 特别 强调 ,安全 措施 本 身 也 可 能 包含 脆弱 性 ,进而 可 能 导致 新 的 风险 。 因 此 
在 设计 或 选取 安全 保护 措施 时 ,要 注意 不 因 采 取 新 的 安全 措施 而 引入 新 的 安全 脆弱 
性 ,从 而 导致 新 的 风险 , 故 选择 安全 措施 必须 小 心 ,要 做 到 在 减少 风险 的 同时 ,不 引进 
新 风险 。 

风险 分 析 是 对 那些 需要 被 控制 或 被 接受 的 风险 进行 识别 。 信 息 系 统 的 风险 分 析 涉 及 对 
资产 价值 .脆弱 性 和 威胁 以 及 威胁 的 后 果 进 行 综合 分 析 。 风 险 是 通过 对 机 密 性 、 完 整 性 、 可 
用 性 、 可 靠 性 、 抗 抵赖 及 可 确认 性 的 可 能 损坏 进行 识别 和 分 析 的 。 

责任 分 配 与 确认 是 风险 管理 中 的 一 种 重要 的 措施 , 它 明确 无 误 地 将 责任 进行 分 配 并 确 
定 责任 者 。 责 任 需 要 被 分 配给 信息 系统 的 资产 所 有 者 、 管 理 者 、 供 应 商 和 使 用 者 ,并 能 在 需 
要 时 予以 确认 。 因 此 ,资产 的 所 有 权 和 相关 的 安全 责任 人 加 上 对 安全 行为 的 审计 ,可 以 回溯 
并 追究 安全 事件 的 责任 ,以 此 增强 相关 人 员 的 安全 意识 ,并 对 来 自 内 部 或 外 部 的 恶意 行为 人 
构成 威慑 ,这 对 信息 系统 的 安全 来 说 非常 重要 。 
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监控 是 实施 安全 措施 所 需要 的 ,安全 措施 本 身 的 监控 功能 则 能 确保 安全 功能 正常 发 挥 
作用 。 在 安全 设备 运行 期 间 , 当 环境 改变 后 ,监控 功能 应 仍 能 维持 所 设计 的 效能 。 系 统 日 志 
的 自动 审核 和 分 析 是 帮助 系统 性 能 达到 预期 效果 的 有 效 工 具 。 这 些 工具 也 可 以 用 来 检测 有 
害 事 件 ,并 可 以 对 某 些 潜在 威胁 起 到 威慑 的 作用 。 

需要 定期 验证 安全 措施 是 否 保持 设计 的 效能 。 通 过 监控 和 对 安全 效能 符合 性 的 检测 可 
以 确定 安全 措施 正常 发 挥 功效 。 很 多 安全 措施 会 产生 输出 ,例如 日 志 、 报 警 信息 等 。 通 过 检 
查 这 些 输 出 信息 可 以 发 现 安全 事件 和 分 析 潜 在 的 安全 事件 。 系 统 审 计 功 能 可 以 在 安全 管理 
方面 提供 有 用 的 信息 ,并 能 提供 监控 所 需 的 输入 信息 。 

安全 意识 是 确保 信息 系统 安全 所 需 的 基本 要 素 。 组 织 中 的 有 关 人 员 缺 乏 安全 意识 以 及 
不 规范 或 不 良 的 操作 习惯 会 极 大 地 降低 安全 措施 的 有 效 性 或 者 引发 风险 。 一 个 组 织 中 的 操 
作 人 员 通 常 被 认为 是 信息 安全 链 中 的 薄弱 环节 之 一 。 为 确保 组 织 中 的 每 个 人 都 有 足够 的 安 
全 意识 ,非常 有 必要 建立 和 维持 有 效 的 安全 意识 培训 规程 。 建 立 这 个 规程 的 主要 目的 是 向 
组 织 的 员工 、 合 作 伙伴 、 供 应 商 阐明 : 

。 安全 目标 、 安 全 方针 和 策略 ; 

。 与 他 们 的 角色 和 责任 相关 的 操作 规范 要 求 ; 

。 从 职业 道德 和 行政 ,技术 规范 上 需要 养 成 的 良好 习惯 和 必须 遵从 的 行为 准则 。 

此 外 ,安全 培训 规程 还 应 提供 规范 员工 .合作 伙伴 和 供应 商 在 安全 保障 体系 中 承担 的 安 
全 责任 和 义务 的 内 容 。 

应 使 组 织 内 从 高 层 管理 人 员 到 负责 日 常事 务 的 员工 都 知晓 并 贯彻 实施 安全 意识 规程 。 
通常 需要 针对 组 织 中 不 同 部 门 的 人 、 不 同 的 角色 以 及 负 不 同 责任 的 人 制作 相应 的 安全 意 
识 教 育 材料 。 一 个 比较 合理 的 综合 性 的 安全 意识 规程 培训 是 分 阶段 完成 的 。 每 个 阶段 
的 培训 内 容 都 以 以 前 的 经 验 为 基础 ,从 安全 的 概念 开始 到 如 何 解决 操作 与 监控 中 出 现 的 
安全 问题 。 

组 织 内 的 安全 意识 教育 规程 可 以 包括 各 种 各 样 的 活动 ,其 中 一 个 活动 是 安全 意识 教育 
材料 的 制作 和 发 布 。 另 一 个 活动 是 举办 训练 课程 ,对 所 有 员工 有 针对 性 地 进行 合适 的 安全 
技术 和 实践 培训 。 此 外 ,训练 课程 还 应 提供 若干 特定 安全 专题 方面 的 具有 专业 水 准 的 讲座 
教育 。 一 般 来 说 ,在 业务 培训 计划 中 加 入 安全 知识 是 行 之 有 效 的 。 对 于 安全 意识 培训 规程 
的 制定 需要 考虑 以 下 几 个 问题 : 

。 培训 需求 分 析 ; 

。 培训 规程 的 开发 与 提交 ; 

。 对 培训 规程 执行 情况 的 监控 ; 

。 安全 意识 培训 规程 的 内 容 。 

配置 管理 或 控制 是 启动 并 维持 系统 参数 配置 的 过 程 , 以 正式 或 非 正式 的 方式 完成 。 配 
置 管理 的 基本 安全 目标 是 确保 及 时 获得 信息 系统 变更 后 所 需 的 安全 运行 参数 和 安全 控制 参 
数 配置 表 , 以 不 降低 安全 措施 效能 和 组 织 的 整体 安全 的 方式 对 已 批准 的 系统 变更 进行 安全 
管理 。 

变更 管理 是 另外 一 种 过 程 , 当 一 个 信息 系统 发 生变 更 时 用 来 帮助 识别 新 的 安全 管理 需 
求 。 信 息 系 统 及 其 运行 环境 经 常 发 生变 化 ,这 些 变 化 或 者 是 由 新 的 信息 系统 特性 和 服务 所 
导致 ,或 是 因为 发 现 新 的 脆弱 性 和 威胁 。 信 息 系 统 的 变更 包括 以 下 内 容 : 
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。 运行 环境 ; 
。 新 的 程序 ; 
。 新 的 功能 和 性 能 ; 
。 软件 升级 ; 
。 硬件 更 换 ; 


。 新 增加 用 户 ,包括 外 部 用 户 组 或 匿名 组 ; 

。 增 加 子 网 和 与 外 部 网 络 互联 ; 

。 新 的 脆弱 性 或 威胁 出 现 。 

当 信息 系统 发 生变 动 或 者 计划 变动 信息 系统 时 ,重要 的 是 要 确定 这 些 变动 会 对 系统 的 
安全 带 来 的 影响 。 如 果 系 统 拥 有 配置 控制 中 心 或 者 其 他 组 织 机 构 来 管理 系统 的 技术 变动 ， 
那么 应 指定 信息 系统 安全 官员 并 赋予 相应 的 职责 ,以 便 对 这 些 变动 是 否 会 影响 系统 的 安全 
以 及 影响 的 程度 做 出 判断 。 在 某 些 情况 下 ,需要 对 变动 可 能 降低 系统 安全 的 原因 进行 分 析 。 
这 时 往往 需要 评估 安全 性 降低 的 程度 ,并 基于 所 有 有 关 的 事实 做 出 管理 决策 。 换 句 话说 , 改 
变 一 个 系统 需要 适时 地 考虑 对 安全 的 影响 。 对 于 涉及 购买 新 的 硬件 .软件 或 服务 的 重大 改 
变 ,需要 分 析 以 确定 新 的 安全 需求 。 另 一 方面 ,许多 变动 只 造成 小 的 系统 性 能 变化 ,不 需要 
像 发生 结 构 性 变动 那样 做 深入 的 分 析 。 然 而 不 管 系统 变动 大 或 小 ,都 需要 进行 风险 评估 , 确 
定 保护 的 收益 与 保护 的 成 本 之 间 的 平衡 。 

业务 持续 性 管理 是 维持 业务 不 间断 的 管理 过 程 。 业 务 持 续 性 管理 为 确保 业务 的 连续 运 
营 提 供 进 程 和 资源 的 持续 可 用 性 。 业 务 持续 性 管理 还 包括 应 急 计划 和 灾难 恢复 。 

应 急 计划 是 当 信息 系统 运行 和 维持 能 力 降低 或 系统 不 可 用 时 如 何 维持 或 快速 恢复 基本 
运行 业务 的 保证 。 这 些 计划 应 该 涉及 各 种 可 能 的 情况 ,包括 : 

。 规定 各 种 业务 容忍 中 断 的 时 间 ,通常 以 小 时 或 分 钟 数 计算 ; 

。 预 估 不 同类 型 设施 所 受 的 损失 ， 

。 估计 建筑 物 及 其 附属 设施 所 受 的 总 损失 ; 

。 恢 复 到 损坏 发 生前 状态 所 需 的 时 间 。 

灾难 恢复 计划 描述 怎样 使 受 安全 事件 影响 的 信 


息 系统 恢复 运行 。 灾 难 恢复 计划 包括 ; Es 
。 制订 灾难 的 识别 准则 ， > 
。 确定 各 种 恢复 活动 的 职责 ; 一 一 风险 识别 “上 -一 -一 | 
。 履 行 恢复 计划 的 职责 ; 大 
。 恢复 活动 的 过 程 描述 ; 昌 | | | 和 
。 测试 恢复 计划 是 否 有 效 。 次 1 号 
风险 调控 过 程 贯 穿 于 安全 工程 的 整个 生命 周 | 广 | RE 个 | 
期 ,图 5. 6 说 明了 风险 调控 的 各 个 环节 及 其 调控 
流程 。 一 一 残留 风险 ”一 | 
这 一 模型 的 优点 是 强调 了 基于 风险 调控 的 各 个 f 


阶段 ,具有 一 定 的 可 操作 性 ,缺点 是 对 于 各 个 阶段 之 
间 的 关系 没有 给 出 具有 逻辑 性 的 描述 。 


图 5.6 风险 调控 过 程 概览 
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5.3.4 PDCA 模型 
PDCA( 规 划一 实施 一 检测 一 改进 ) 模 型 如 图 5.7 所 示 。 


规划 
建立 ISMS 上 下 文 关 系 
和 风险 评估 
有 利益 关系 DA \ 有 利益 关系 
的 参与 方 | 实施 | 设计 和 实施 | 开发 维 。 grsms | 改进 | 外 入 
信息 安全 MS 的 区 法 信息 安全 


要 求 和 期 里 SN MA 要 求 和 期 电 


c==> 监视 和 评审 ISMS = 


图 5.7 PDCA 过 程 模型 


1. 规划 (Plan) 一 一 对 组 织 的 信息 安全 进行 总 体 规划 

建立 ISMS(Information Security Management System, 信 息 安 全 管理 体系 ) 的 结构 关 
系 ; 提出 信息 安全 的 目标 .方针 和 策略 ,其 中 ,安全 目标 是 一 个 满足 组 织 对 信息 系统 安全 要 
求 的 指标 体系 ,安全 方针 是 达到 安全 目标 的 方法 和 途径 ,安全 策略 是 实现 安全 目标 的 一 系列 
规则 和 指令 。 

2. 实施 (Do) 一 一 设计 和 实现 

对 实现 信息 安全 目标 所 需 的 过 程 程序 进行 设计 和 工程 实现 。 

3. 检测 (Check) 一 一 监控 和 审核 

采用 自动 工具 和 人 工 检测 结合 的 方法 ,根据 安全 目标 方针、 策略 和 运行 实践 情况 对 过 
程 程序 的 安全 性 能 进行 检测 和 审核 ,并 给 出 与 安全 要 求 指标 是 否 符合 的 定量 或 定性 的 结论 。 

4. 改进 (Act) 一 一 改善 

改善 或 改进 过 程 程序 的 安全 性 能 ,使 之 符合 安全 规划 中 提出 的 安全 要 求 指标 。 

表 5. 2 所 示 的 6 个 步骤 能 够 帮助 用 户 建立 一 个 信息 安全 管理 体系 (ISMS) 。 


表 5.2 建立 信息 安全 管理 体系 的 步骤 


第 一 步 第 二 步 第 三 步 | ”第 四 步 第 五 上 第 六 步 
风险 评 信 | 内 下 选择 安全 措施 (控制 
制定 信息 安全 | 确定 管理 的 范围 | 脆弱 性 标 和 要 执行 的 控件 ) 
管理 策略 “| 信息 资产 威 及 ede 控制 目标 和 控件 | 准备 可 用 性 说 明 
影响 附加 的 控件 


第 一 步 ”制定 信 息 安 全 管理 策略 
考虑 所 有 信息 资产 以 及 它们 对 组 织 的 价值 ,然后 设置 一 个 可 以 用 来 识别 信息 重要 程度 
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以 及 理由 的 策略 。 从 实践 的 观点 来 看 ,只 有 那些 具有 重要 价值 的 信息 才 需 要 得 到 关注 。 

第 二 步 ” 确 定 管理 的 范围 

排除 低 价值 的 信息 ,确定 整个 组 织 所 关心 的 信息 种 类 或 信息 体 。 在 这 种 情况 下 ,需要 考 
虑 所 有 的 信息 系统 资源 和 它 的 外 部 接口 资源 以 及 通信 过 程 、 文 件 柜 (文件 )、 电 话 交 流 ( 语 音 
信息 ) .公共 关系 等 范围 之 内 的 信息 。 

第 三 步 ” 风 险 评估 

判断 资产 损失 的 风险 ,要 考虑 影响 风险 的 方方面面 。 对 于 极端 情况 ,还 要 考虑 技术 的 复 
杂 性 ,考虑 开发 新 技术 和 业务 的 成 本 ,以 及 工业 间谍 活动 和 信息 战 等 方面 对 风险 评估 的 
影响 。 

第 四 步 ” 风险 管理 

对 各 类 风险 进行 管理 ,包括 对 技术 .人 员 、 管 理 程序 和 物理 方面 的 因素 以 及 保险 契约 等 
的 风险 管理 。 风 险 一 旦 发 生 , 需 要 想 办 法 抑制 或 减 小 危害 ,更 需要 一 个 有 效 的 可 持续 计划 。 

第 五 步 ”选择 安全 措施 

按 安全 需求 选择 安全 措施 ,其 中 包括 选择 合适 的 风险 管理 措施 。 

第 六 步 ” 准 备 可 用 性 说 明 

证 实 所 选择 的 所 有 安全 措施 的 充分 性 ,并 证 明 它 们 的 必要 性 ,进一步 说 明 没有 被 选中 的 
安全 措施 是 与 本 项 不 相关 的 。 

这 一 模型 从 安全 工程 实施 的 过 程 角度 提供 了 安全 管理 的 思路 ,考虑 了 与 信息 安全 管理 
有 关 的 诸多 方面 ,也 具有 一 定 的 可 操作 性 ,但 对 风险 管理 的 对 象 及 风险 管理 的 方法 描述 有 些 
模糊 ,因此 很 难 适用 于 对 开放 互 连 信 息 系 统 的 安全 管理 ,但 更 适合 于 对 软件 系统 开发 过 程 中 
的 安全 管理 。 

本 节 提 到 的 几 种 信息 安全 管理 模型 都 是 从 不 同 角 度 或 根据 不 同 应 用 领域 的 需要 设计 
的 ,都 有 一 定 的 参考 价值 ,对 于 理解 和 认识 信息 安全 管理 可 以 起 到 “敲门砖 "的 作用 。 在 面 对 
具体 的 信息 安全 管理 问题 时 ,建议 读者 不 要 盲目 套用 ,而 应 自己 运用 信息 安全 管理 理论 和 方 
法 论 设计 符合 实际 需要 的 信息 安全 管理 模型 。 


5.4 信息 系统 生命 周期 的 安全 管理 


本 节 从 两 方面 介绍 信息 系统 生命 周期 的 安全 管理 ,一 是 安排 和 规划 信息 安全 管理 ,二 是 
信息 安全 管理 技术 。 

对 信息 安全 管理 进行 安排 和 规划 涉及 与 组 织 的 信息 系统 安全 有 关 的 管理 人 员 及 其 
职责 。 
信息 安全 管理 技术 描述 在 信息 系统 生命 周期 里 与 管理 有 关 的 活动 (例如 规划 、 设 计 、 实 
施 、 测 试 .部署 或 操作 等 ) 中 涉及 的 那些 知识 技能 和 操作 技巧 。 


5.4.1 安排 和 规划 


本 部 分 涉及 信息 安全 管理 的 各 种 安排 和 规划 活动 的 内 容 。 它 关系 到 信息 系统 的 规划 、 
建设 运行、 维护 过 程 中 管理 者 的 职责 等 ,同时 也 关系 到 那些 对 信息 系统 的 实际 应 用 活动 负 
责 的 管理 者 。 总 之 ,这 一 部 分 的 内 容 包 含 了 对 一 个 组 织 的 信息 系统 有 管理 职责 的 人 都 有 用 


上 
息 安 全 管理 概论 


的 信息 。 

现在 ,政府 和 商业 机 构 越 来 越 依赖 信息 系统 来 指导 和 完成 业务 活动 和 与 公众 .社会 的 信 
息 交 互 。 信 息 和 信息 服务 的 机 密 性 、 完 整 性 .可 用 性 、 抗 抵赖 性 和 可 靠 性 的 丢失 会 给 组 织带 
来 不 利 影响 ,因此 需要 保护 信息 系统 的 信息 和 信息 服务 ,提高 相应 的 安全 管理 水 平 。 在 开放 
系统 互连网 络 环境 下 的 信息 系统 ,由 于 组 织 内 外 的 网 络 是 连通 的 ,这 种 保护 需求 越 来 越 
迫切 。 

信息 安全 管理 是 一 个 获得 信息 系统 及 其 资源 的 机 密 性 、 完 整 性 、 可 用 性 、 抗 抵赖 性 和 可 
靠 性 ,并 将 其 维持 在 一 个 合适 的 水 平 的 过 程 。 

为 了 履行 对 信息 系统 安全 的 管理 责任 ,安全 管理 活动 必须 作为 组 织 的 管理 计划 中 不 可 
缺少 的 组 成 部 分 贯穿 于 组 织 的 管理 过 程 中 。 因 此 ,在 这 里 并 不 拓宽 管理 的 一 般 含义 ,而 更 注 
重 于 安全 方面 的 管理 与 一 般 管 理 的 联系 。 

图 5. 8 从 安排 和 规划 的 角度 描绘 了 安全 管理 过 程 的 主要 阶段 和 活动 。 


组 织 的 信息 安全 策略 


信息 安全 组 织 要 素 
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风险 管理 


综合 风险 


分 析 方法 


非 正 式 风险 详细 风险 
分 析 方法 分 析 方 法 


基线 风险 
| 分 析 方法 


信息 安全 建议 
f 
信息 系统 安全 策略 


信息 安全 计划 


| 实施 


安全 措施 安全 意识 


跟踪 


5.8 安全 管理 过 程 


组 织 的 信息 安全 保护 的 出 发 点 是 保护 业务 目标 的 实现 ,然而 为 了 实现 这 一 业务 目标 需 
要 制定 信息 安全 策略 。 因 此 ,安全 策略 只 有 作为 管理 体系 结构 的 一 部 分 ,其 既定 的 安全 目标 
才能 得 以 实现 , 故 图 5. 8 标识 的 所 有 活动 和 功能 都 很 重要 。 

图 5. 8 所 描述 的 安全 管理 过 程 大 致 分 为 5 个 部 分 , 即 组 织 的 信息 安全 策略 、 信 息 安全 的 
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组 织 要 素 、. 风 险 管 理 、 实 施 以 及 后 续 的 跟踪 活动 (维护 监控、 检查 培训、 评审 等 ) 。 

5.4.1.1 组 织 的 安全 策略 和 信息 安全 策略 

1. 组 织 与 信息 安全 策略 

组 织 的 安全 策略 一 般 应 该 包括 组 织 的 技术 策略 和 管理 策略 ,作为 阐述 组 织 信息 系统 安 
全 策略 的 指导 性 文件 。 信 息 系 统 安全 策略 的 陈述 应 该 使 用 简明 的 \ 有 说 服 力 的 请 言 来 阐明 
信息 安全 的 重要 性 ,特别 是 当 信息 安全 必须 依从 于 某 个 具体 策略 时 尤其 如 此 。 一 般 来 说 ,组 
织 的 信息 安全 策略 应 服从 组 织 的 安全 策略 .技术 策略 和 业务 策略 等 ,而 组 织 的 下 属 部 门 信息 
安全 策略 应 服从 信息 系统 安全 策略 ,以 此 类 推 。 一 个 组 织 无 论 采用 什么 样 的 组 织 结 构 和 使 
用 什么 格式 的 文档 ,重要 的 是 保持 对 安全 策略 有 关 的 表述 之 间 的 一 致 性 ,避免 部 门 之 间 有 关 
安全 策略 表述 的 二 义 性 或 冲突 。 

2. 组 织 的 信息 安全 策略 要 点 

信息 安全 策略 至 少 应 包括 以 下 要 点 : 

。 信息 安全 需求 ,例如 机 密 性 、 完 整 性 .可 用 性 、 抗 抵赖 性 和 可 靠 性 等 需求 ,尤其 是 要 尊 

重 资产 所 有 者 安全 需求 的 意愿 ; 

。 组 织 的 基本 结构 和 信息 安全 责任 分 配 ; 

。 信息 安全 保护 等 级 的 定义 规程 ; 

。 员工 选 聘 、 上 岗 在岗、 下岗、 解聘 或 辞退 的 规范 

。 与 安全 意识 有 关 的 职业 道德 和 业务 素质 的 培训 和 教育 规程 ; 

。 法 律 的 和 管理 的 责任 ; 

。 外 购 外 包 管理 规范 ; 
风险 管理 规程 ; 
。 应 急 和 恢复 计划 ; 
。 安全 事件 处 理 规范 和 实施 计划 。 
5.4.1.2 信息 安全 的 组 织 结构 


1. 角色 和 责任 

信息 安全 与 组 织 内 信息 系统 的 所 有 者 、 管 理 者 和 使 用 者 都 有 关 。 安 全 责任 的 指定 和 划 
分 应 该 保证 高 效 地 完成 所 有 的 信息 业务 。 不 管 组 织 的 规模 、 结 构 和 管理 体系 ,也 无 论 实现 信 
息 安 全 目标 的 方式 ,都 应 配备 信息 安全 管理 委员 会 ,用 于 解决 组 织 内 跨 部 门 和 跨 技 术 学 科 的 
协调 问题 ,制定 或 批准 信息 安全 策略 ,颁发 安全 管理 指南 和 技术 规范 ; 并 且 配备 信息 安全 官 
员 , 即 一 个 组 织 内 信息 安全 各 个 方面 的 组 织 者 和 指挥 者 (实际 上 是 组 织 内 部 所 有 信息 安全 方 
面 的 权威 管理 人 员 )。 

同时 应 该 对 信息 安全 管理 委员 会 和 信息 安全 官员 角色 两 者 进行 良好 的 定义 和 责任 划 
分 ,以 确保 在 执行 组 织 的 信息 安全 策略 时 有 充分 的 人 力 资金 .资源 保证 及 权威 性 。 

1) 信息 安全 管理 委员 会 

信息 安全 管理 委员 会 中 应 包括 具有 识别 信息 安全 目标 、 确 定 信 息 安全 方针 和 策略 、 解 释 
信息 安全 策略 、 草 拟 信息 安全 规程 .评估 信息 安全 有 效 性 ,以 及 指导 信息 安全 官员 等 所 必需 
的 权力 、 知 识 和 技能 的 专家 。 委 员 会 充当 的 角色 如 下 : 

。 向 信息 系统 管理 机 构 提 供 关 于 信息 安全 战略 规划 方面 的 建议 ; 
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。 审核 本 组 织 的 信息 安全 策略 ,并 获得 信息 系统 管理 机 构 的 正式 批准 ; 

。 监督 信息 安全 管理 活动 ; 

。 评审 组 织 的 信息 安全 策略 的 有 效 性 ; 

。 审议 信息 安全 管理 的 重大 变动 行动 ; 

。 对 规划 过 程 和 信息 安全 活动 的 实现 中 所 需要 的 资源 (人 力 、 财 力 等 ) 配 置 提 出 建议 。 

为 使 信息 安全 管理 委员 会 具有 效力 ,委员 会 还 应 该 包括 具备 信息 系统 技术 知识 背景 的 
成 员 ,以 及 主要 的 信息 系统 供应 商 和 使 用 者 代表 ,因为 开发 一 个 实用 的 信息 安全 策略 需要 这 
些 领域 的 知识 和 技能 。 

2) 信息 安全 官员 

由 于 信息 安全 的 责任 较为 分 散 ,可 能 存在 一 种 风险 , 即 最 后 可 能 没有 人 对 整个 系统 或 子 
系统 的 安全 负责 任 ( 即 没有 人 对 全 局 或 局 部 安全 负责 )。 为 了 避免 此 类 问题 ,应 将 责任 分 解 
后 指定 给 具体 的 人 。 建 议 设立 一 个 专门 的 岗位 一 一 信息 安全 官员 ,作为 一 个 组 织 内 信息 
安全 各 个 方面 的 核心 人 物 ,应 选择 一 个 具有 安全 和 信息 技术 背景 的 人 担任 。 其 主要 职责 
如 下 : 


组 织 和 协调 与 信息 系统 安全 有 关 的 规章 制度 和 操作 规范 的 起 草 ; 
。 从 细节 上 具体 管理 信息 安全 活动 ; 
。 适时 地 向 信息 安全 管理 委员 会 和 组 织 的 安全 主管 官员 报告 信息 系统 的 安全 状况 
。 牵头 事件 调查 并 起 草 处 理 意见 ， 
管理 全 组 织 范围 的 信息 安全 意识 教育 项 目 ; 
。 为 信息 系统 工程 和 系统 管理 员 以 及 下 属 部 门 的 信息 安全 官员 分 派 指定 的 安全 事项 。 
2. 主动 支持 
有 效 的 信息 安全 活动 需要 得 到 各 个 层次 管理 人 员 的 支持 。 这 些 支持 包括 : 
。 帮助 理解 组 织 的 全 局 业务 需求 ; 
帮助 理解 组 织 内 的 信息 安全 需求 ; 
。 利用 示范 方式 推动 信息 安全 意识 的 教育 培训 ; 
。 无 保留 地 陈述 信息 安全 需求 ; 
。 愿意 将 行政 或 技术 资源 调配 给 信息 安全 活动 ; 
组 织 的 最 高 领导 层 清 楚 地 意识 到 信息 安全 的 含义 .范围 和 程度 。 

信息 安全 的 目标 应 该 通告 给 整个 组 织 的 每 一 个 员工 或 者 合作 者 ,让 他 们 都 清楚 地 知道 
自己 的 角色 和 安全 职责 、 对 信息 系统 安全 的 作用 ,以 及 自己 的 权利 和 义务 。 

3. 协调 一 致 

应 对 所 有 的 设计 、 开 发 .维护 以 及 运行 活动 进行 协调 ,确保 将 信息 安全 保护 措施 贯穿 到 
信息 和 信息 系统 的 整个 生命 周期 。 信 息 系 统 所 属 组 织 的 结构 必须 适应 与 信息 安全 有 关 的 协 
调 活动 ,这 就 需要 得 到 各 个 管理 层 在 规范 和 标准 方面 一 致 的 支持 。 这 些 规范 和 标准 可 能 是 
行政 性 的 和 技术 性 的 ,包括 国际 的 .国家 的 ,行业 的 、 地 方 的 区域 性 的 以 及 组 织 自 己 的 ,这 需 
要 在 国家 法 律 约束 下 根据 组 织 的 信息 安全 需求 进行 选择 和 应 用 。 

使 用 规范 和 标准 的 好 处 在 于 : 

。 信息 系统 安全 符合 国家 整体 安排 ,具有 合法 性 ; 

。 信息 系统 可 获得 综合 性 的 、 完 整 的 安全 体系 性 保障 ; 
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组 织 内 的 各 信息 系统 间 和 与 组 织 外 的 信息 系统 之 间 具 有 互 操 作 性 ; 
信息 系统 内 各 子 系统 之 间 在 安全 和 效率 之 间 获 得 平衡 ; 

安全 保障 方法 具有 可 移植 性 ; 

系统 规模 变动 时 具有 兼容 性 和 经 济 可 行 性 。 

5.4.1.3 风险 管控 策略 和 关键 问题 

1. 风险 管控 的 策略 

任何 组 织 的 信息 安全 需求 都 与 在 业务 运行 规模 ,方式 及 其 环境 和 文化 背景 下 可 能 招致 
的 风险 紧密 相关 。 风 险 管控 策略 的 选取 必须 考虑 与 这 些 因素 的 关系 。 

有 时 候 , 一 个 组 织 可 能 决定 暂 不 或 暂缓 执行 某 些 安全 保护 措施 ,这 种 情况 只 能 出 现在 该 
组 织 的 基于 风险 管理 的 信息 安全 策略 已 获得 高 层 审核 并 获 通过 之 后 。 在 做 出 这 样 的 决定 之 
前 要 意识 到 风险 可 能 产生 的 不 利 影响 ,以 及 突 发 事件 发 生 的 可 能 后 果 。 只 有 在 慎重 考虑 可 
能 出 现 的 种 种 不 利 影响 之 后 才能 做 出 不 保护 或 者 缓 保护 某 些 资 产 的 决定 。 

在 开始 进行 风险 分 析 活动 前 ,应 该 以 文档 说 明 方式 确定 风险 分 析 的 方针 , 即 确定 选择 风 
险 分 析 方 法 的 准则 ,保证 选择 的 风险 分 析 方 法 适合 信息 系统 的 运行 环境 和 实际 需要 ,能 够 将 
安全 资源 相对 集中 到 需要 重点 保护 的 地 方 ,同时 兼顾 信息 系统 的 整体 安全 平衡 。 

各 种 风险 分 析 方法 的 基本 区 别 在 于 风险 分 析 的 深度 和 细微 程度 方面 。 对 所 有 的 信息 系 
统 都 做 详细 风险 分 析 会 造成 某 些 组 织 不 堪 重 负 的 太 大 花 销 ; 另 一 方面 ,对 重要 风险 只 给 予 
一 般 的 关注 也 是 不 合适 的 ,所 以 需要 根据 信息 系统 存在 的 实际 的 风险 分 布 及 其 强度 情况 在 
各 种 选择 间 进 行 平衡 。 关 于 具体 的 风险 分 析 方 法 将 在 5. 4. 2. 2 节 详 细 描 述 。 

2. 风险 管控 的 关键 问题 

无 论 采 用 哪 一 种 风险 分 析 方法 ,其 目的 都 在 于 准确 地 识别 系统 风险 的 分 布 及 强度 ,以 此 
确定 安全 需求 ,选取 有 针对 性 的 安全 措施 将 风险 控制 到 一 个 可 接受 的 水 平 。 其 中 ,如 何 选取 
安全 措施 、 如 何 研判 残留 风险 是 可 以 接受 的 是 风险 管控 中 的 关键 问题 。 对 此 ,提出 以 下 
建议 : 

1) 安全 措施 的 选择 

可 以 选择 的 安全 措施 分 为 两 大 类 : 一 是 可 以 预防 ,监视 和 检测 安全 事件 发 生 和 降低 安 
全 风险 的 与 管理 ,技术 有 关 的 行为 和 设备 或 组 件 ; 二 是 可 以 从 安全 事件 中 将 信息 系统 进行 
快速 恢复 的 技术 设备 或 设施 。 

在 选择 满足 安全 需求 的 信息 安全 设备 时 应 遵从 公 通 字 [2007]43 号 文件 (信息 安全 等 级 
保护 管理 办 法 ) 中 关于 信息 安全 设备 的 测评 和 认证 规定 。 

选择 的 安全 措施 一 般 应 协调 发 挥 作用 而 不 强调 相互 独立 地 运行 ,以 便 在 有 条 件 的 地 方 
实现 安全 控制 信息 的 共享 , 尽 可 能 实现 安全 控制 的 联动 。 

在 选择 安全 措施 时 尤其 要 注意 不 能 留 下 安全 间隙 或 空白 。 这 些 安全 间隙 或 空白 可 能 给 
各 种 威胁 行为 绕 过 或 穿 透 已 有 的 安全 措施 实施 攻击 提供 通道 。 

对 新 的 信息 系统 或 发 生 重大 变动 的 信息 系统 而 言 ,安全 措施 的 选择 必须 在 安全 体系 结 
构 内 进行 。 安 全 体系 结构 是 整个 信息 系统 体系 结构 的 一 部 分 。 安 全 体系 结构 描述 了 信息 系 
统 安全 措施 的 合乎 逻辑 的 安排 与 布局 , 它 考虑 了 安全 措施 的 技术 方面 ,同时 也 涉及 非 技术 
因素 。 

所 有 的 安全 措施 都 需要 由 管理 活动 来 激活 其 效能 并 维持 其 有 效 运行 ,很 多 安全 措施 的 
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维护 (例如 更 新 、 功 能 增强 ) 需 要 行政 的 强力 支持 。 在 选择 安全 措施 的 过 程 中 这 些 因素 必须 
予以 考虑 。 

重要 的 是 ,安全 措施 的 选取 必须 满足 预期 效能 并 且 不 导致 不 适当 的 管理 开销 。 安 全 措 
施 的 选取 不 得 造成 用 户 活动 和 系统 管理 过 程 的 重大 变动 。 

2) 残留 风险 与 可 接受 的 风险 

在 实施 选 定 的 安全 措施 后 ,系统 仍然 存在 残留 风险 。 这 是 因为 一 个 系统 不 必 也 不 可 能 
做 到 绝对 安全 或 零 风险 ,因此 会 有 意 或 无 意 地 留 下 一 些 未 予 保护 (比如 ,假定 风险 很 低 , 或 相 
对 于 要 保护 的 资产 的 价值 来 说 ,被 推荐 的 安全 措施 成 本 太 高 ,因此 不 必 保 护 ) 的 地 方 。 

残留 风险 评估 的 第 一 步 是 复审 所 选 安全 措施 实施 后 的 实际 的 安全 效能 与 设计 的 效能 之 
间 的 差异 ; 第 二 步 是 对 设计 时 就 有 意 或 无 意 留 下 的 某 些 安全 脆弱 性 面临 的 风险 进行 估算 ， 
然后 综合 得 出 残留 风险 。 在 此 基础 上 将 残留 风险 分 为 两 类 , 即 可 被 组 织 接受 的 和 不 可 接 
受 的 。 

可 接受 的 风险 一 般 理 解 为 对 这 种 风险 或 是 可 以 控制 的 ,或 风险 的 损失 在 预期 内 (风险 发 
生 的 概率 小 或 损失 小 ,风险 发 生 后 可 应 对 或 对 抗 风险 的 成 本 不 高 ); 不 可 接受 的 风险 则 不 能 
被 容忍 ,应 该 考虑 额外 的 安全 措施 以 限制 那些 不 可 接受 的 风险 带 来 的 影响 或 后 果 。 

总 之 ,对 残留 风险 是 否 可 以 接受 还 应 进行 评估 。 


5.4.2 安全 管理 和 风险 分 析 


信息 安全 管理 从 制定 信息 安全 规划 开始 ,规划 的 主要 任务 是 确定 信息 系统 总 体 安全 目 
标 方 针 和 策略 ,以 此 作为 组 织 的 信息 系统 安全 管理 的 纲领 性 指导 文件 。 

在 信息 系统 安全 目标 .方针 和 策略 的 指导 下 ,信息 系统 安全 管理 的 活动 包括 识别 信息 系 
统 资 产 , 资 产 的 脆弱 性 及 其 面临 的 威胁 ,威胁 行为 实施 成 功 后 的 影响 , 按 脆弱 性 分 布 和 威胁 
路 径 确定 风险 的 分 布 及 强度 ,由 风险 分 布 和 强度 导出 信息 系统 的 安全 需求 ,设计 满足 安全 需 
求 的 信息 系统 安全 保障 体系 ,设计 和 实现 信息 安全 解决 方案 ,以 及 对 信息 安全 措施 的 配置 、 
运行 和 维护 进行 管理 等 。 这 些 信息 安全 管理 活动 是 一 个 有 序 的 逻辑 流程 , 即 信息 系 统 生命 
周期 的 安全 管理 过 程 。 

在 这 一 过 程 中 ,如 过 与 信息 安全 管理 有 关 的 法 律 法 规 发 生变 化 ,信息 系统 的 业务 或 系统 
组 件 发 生变 化 ,信息 系统 的 运行 环境 发 生变 化 .安全 保护 措施 发 生变 化 等 情况 , 均 应 对 变动 
部 分 可 能 引起 的 新 的 风险 进行 评估 ,如 存在 不 可 接受 的 风险 , 则 应 对 安全 措施 予以 调整 或 增 
加 新 的 安全 措施 (包括 管理 的 和 技术 的 ) ,必要 时 应 重复 前 段 所 述 过 程 活动 。 

在 信息 安全 的 实际 管理 中 ,一 般 做 法 是 在 组 织 的 信息 安全 目标 .方针 和 策略 指导 下 以 风 
险 分 析 和 管控 为 主线 开展 管理 活动 ,包括 处 理 各 种 后 续 (跟踪 ) 管 理 活动 ,例如 维护 ,安全 尊 
从 性 检查 、 变 更 管理 ,监控 和 安全 事故 处 理 等 。 图 5. 9 列 出 了 基于 风险 分 析 的 信息 安全 管理 
所 涉及 的 各 部 分 活动 内 容 。 

5.4.2.1 信息 安全 的 目标 .方针 和 策略 

一 个 组 织 对 信息 系统 的 安全 进行 规划 时 要 制定 组 织 关 于 信息 系统 的 安全 方针 和 策略 。 
这 里 的 目标 ( 指 要 实现 什么 )、 方 针 ( 如 何 达到 目标 ) 和 策略 (为 达到 目标 需 遵循 的 规则 和 指 
令 ) 应 该 在 一 个 组 织 的 每 个 层次 和 每 个 业务 单位 或 部 门 中 进行 定义 。 为 了 获得 高 效能 的 信 
息 安全 保障 ,有 必要 针对 组 织 的 每 个 层次 和 业务 部 门 的 实际 需求 确立 不 同 的 目标 \ 方 针 和 策 


89 
第 5 章 信息 安全 管理 方法 与 过 


信息 安全 目标 、 方 针 和 策略 
| 信息 安全 目标 和 方针 
| 组 织 信息 安全 策略 


详细 风 


高 等 级 风 | 


详细 风险 
分 析 


安全 措施 选择 
风险 接受 


信息 安全 规划 的 实现 


安全 措施 


安全 意识 工程 安全 训练 


信息 系统 的 批准 


安全 遵从 
性 检查 


变更 管理 


图 5.9 基于 风险 分 析 的 信息 安全 管理 过 程 


略 。 重 要 的 是 使 多 个 层次 和 业务 部 门 的 这 些 目标 之 间 保 持 定义 和 概念 的 一 致 性 ,因为 许多 
关于 脆弱 性 ,威胁 和 安全 措施 的 管理 信息 是 需要 并 可 能 实现 共享 的 。 

组 织 的 信息 系统 安全 目标 指 的 是 信息 系统 及 其 资产 的 机 密 性 、 完 整 性 .可 用 人 性、 可 控 性 
等 安全 特性 受 保护 的 程度 ( 即 安全 保护 等 级 ) 要 求 ; 对 数据 (信息 ) 、 组 件 和 系统 的 备份 要 求 ， 
信息 系统 发 生 安全 事件 后 按 危害 程度 分 类 实现 快速 恢复 的 要 求 ; 信息 系统 存在 的 残留 风险 
的 基线 ( 即 底线 ,一 个 人 为 设 定 的 阔 值 ) 要 求 , 即 超过 这 一 基线 的 风险 是 不 可 接受 的 。 在 信息 
安全 规划 文档 中 涉及 描述 这 些 安全 目标 时 ,一 般 应 采用 自然 的 社会 化 管理 语言 ,避免 使 用 过 
于 技术 性 或 学 术 型 的 语言 ,这 样 有 利于 组 织 内 部 各 类 与 信息 安全 管理 有 关 的 人 员 之 间 的 沟 
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通 和 交流 。 

信息 系统 安全 方针 指 的 是 实现 安全 目标 必须 遵从 的 方式 方法 ,包括 实现 信息 系统 及 其 
资产 机 密 性 、 完 整 性 、 可 用 性 、 可 控 性 保障 的 技术 标准 和 工程 方法 ; 数据 (信息 )、 组 件 和 系统 
备份 的 保存 方式 保存 的 场所 与 保护 的 方法 ,以 及 当 安 全 事件 发 生 后 按 危 害 程度 选择 恢复 对 
象 (数据 (信息 )、 组 件 和 系统 ) 和 实现 快速 恢复 的 方法 ; 将 风险 评估 结果 与 基线 比较 ,判断 信 
息 系 统 的 残留 风险 与 可 接受 基线 的 符合 程度 。 

信息 系统 安全 策略 指 的 是 实现 信息 系统 安全 目标 采用 的 一 系列 规则 和 指令 。 这 些 规则 
和 指令 包括 行政 管理 条 例 和 技术 操作 规程 ,为 信息 系统 内 涉及 安全 的 所 有 员工 制定 的 行为 
规范 。 组 织 的 信息 安全 策略 必须 与 组 织 的 安全 策略 ,业务 策略 保持 一 致 ,这 样 才能 在 实施 时 
获得 所 需 的 系统 资源 ,并 且 能 确保 在 各 种 不 同 的 系统 环境 里 保持 一 致 的 安全 保护 方法 ,必要 
时 可 为 每 个 或 某 些 信息 子 系统 开发 独立 的 和 专门 的 安全 策略 。 

1. 合理 的 安全 目标 和 方针 

作为 信息 安全 管理 过 程 的 一 步 , 应 考虑 的 问题 是 “多 大 的 风险 水 平 对 这 个 组 织 是 可 接受 
的 ?”。 正 确 的 可 接受 的 风险 水 平和 合适 的 安全 保护 等 级 是 安全 管理 成 功 的 关键 。 所 需 的 安 
全 保护 等 级 是 由 组 织 的 信息 系统 安全 目标 推断 的 。 为 了 评估 这 些 安全 目标 的 合理 性 ,首先 
应 该 考虑 信息 系统 及 其 资产 对 这 个 组 织 的 价值 ,包括 评估 一 个 组 织 的 业务 对 信息 系统 的 依 
赖 程度 ,必须 考虑 的 因素 如 下 : 

。 识别 信息 系统 的 运行 环境 和 法 律 法 规约 束 ; 

。 识别 信息 系统 对 组 织 开展 的 业务 和 自身 管理 的 重要 程度 ; 

。 识别 出 那些 必须 在 信息 系统 帮助 下 才能 完成 的 业务 和 管理 任务 ; 

”识别 出 那些 必须 依赖 信息 系统 处 理 的 信息 的 精确 性 、 完 整 性 或 可 用 性 才能 实现 的 新 
业务 或 更 强 的 业务 能 力 (例如 快速 准确 的 分 类 统计 ); 
识别 出 那些 被 拥有 和 使 用 的 数据 (信息 ) 章 到 泄露 或 破坏 后 的 严重 后 果 ; 

。 评估 各 种 安全 事件 可 能 造成 的 后 果 , 识 别 出 其 中 后 果 最 严重 的 安全 事件 导致 的 后 

果 ; 等 等 。 

理解 这 些 问 题 可 以 帮助 用 户 建立 一 个 组 织 的 安全 目标 。 例 如 ,如 果 一 个 组 织 的 业务 中 
的 一 些 重要 或 很 重要 的 部 分 必须 依赖 于 精确 的 或 最 新 的 信息 ,那么 这 个 组 织 的 一 个 安全 目 
标 就 是 要 确保 信息 在 系统 中 处 理 时 的 完整 性 和 实时 可 用 性 ,进一步 说 ,在 评估 安全 目标 的 合 
理性 时 还 要 考虑 实现 重要 的 业务 目标 和 保护 它们 的 安全 之 间 的 关系 。 

信息 系统 安全 方针 用 一 般 社会 性 和 管理 性 语言 来 描述 一 个 组 织 应 如 何 实现 它 的 信息 安 
全 目标 。 方针 的 描述 应 与 安全 目标 的 描述 具有 对 应 性 ,这 些 描述 可 能 很 具体 (例如 对 某 个 信 
息 体 采用 加 密 措施 保护 机 密 性 ) ,也 可 能 很 宽泛 (例如 对 某 子 系统 或 组 件 采用 完整 性 保护 措 
施 以 防 算 改 或 假冒 ,或 者 将 整个 系统 或 某 ( 些 ) 子 系统 与 外 部 进行 隔离 ,等 等 ) 。 

作为 安全 方针 的 一 个 示例 ,假设 一 个 组 织 的 业务 必须 保持 持续 不 间断 的 服务 能 力 , 其 安 
全 目标 是 需要 对 与 该 业务 有 关 的 整个 系统 维持 一 个 高 等 级 的 可 用 性 水 平 ,在 这 种 情况 下 ， 
安全 方针 所 提出 的 办 法 可 能 就 是 直接 通过 在 整个 系统 范围 设计 一 个 查 、 杀 和 防 病 毒 体系 
(网 络 防 病毒 与 主机 防 病 毒 相 结 合 的 ) 系 统 , 以 及 快速 恢复 系统 ,以 此 维持 系统 业务 的 连 
续 可 用 性 。 

为 了 说 明 安全 方针 的 广泛 意义 ,假设 一 个 组 织 的 业务 是 出 售 信息 服务 ,那么 这 个 系统 必 
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须 有 一 个 更 宽泛 的 信息 安全 目标 ,以 向 潜在 的 顾客 证 明 其 系统 除了 具有 服务 能 力 外 ,还 具有 
让 大 家 放心 的 安全 性 。 这 种 情况 下 的 安全 方针 除 对 系统 本 身 进行 必要 的 安全 保护 外 ,还 必 
须 邀 请 具有 社会 信誉 度 的 可 信任 的 第 三 方 来 证 实 其 安全 性 。 

具体 的 或 宽泛 的 安全 方针 的 其 他 选项 可 以 包括 : 

。 对 信息 系统 资源 进行 分 类 识别 ; 

。 在 整个 组 织 范 围 内 采用 风险 分 析 方 法 ; 

。 组 织 范围 内 的 信息 敏感 度 分 类 方案 ; 

。 在 连接 到 其 他 组 织 的 信息 系统 前 需要 审核 并 满足 安全 连接 的 方法 ; 

。 能 被 普遍 应 用 的 事故 处 理 方案 。 

2. 适用 的 安全 策略 

一 个 组 织 的 信息 安全 策略 是 实现 安全 目标 的 一 系列 规则 和 指令 ,应 在 组 织 的 信息 安全 
目标 和 方针 基础 上 产生 。 建 立 和 维护 信息 安全 策略 需要 保持 与 组 织 的 业务 策略 .安全 策略 、 
信息 策略 以 及 法 律 法 规 的 一 致 性 。 在 制定 组 织 的 信息 系统 安全 策略 时 ,还 应 充分 考虑 组 织 
的 文化 、 环 境 和 机 构 的 特点 ,因为 它们 会 影响 安全 策略 的 选择 ,例如 ,一 些 安全 操作 规程 可 能 
很 容易 在 一 种 环境 下 被 接受 ,但 在 另 一 环境 中 完全 不 被 接受 。 

在 制定 组 织 的 信息 安全 策略 时 ,以 下 职能 部 门 的 代表 应 该 参加 : 

。 审计 ; 

。 财务 ; 

。 信息 系统 管理 和 维护 ， 

。 公共 事务 基本 设施 (例如 负责 建筑 .供电 和 空调 的 人 员 ) 的 管理 和 维护 ; 

。 人 事 ; 

。 安全 ; 

。 业务 高 级 管理 层 。 

组 织 的 信息 安全 策略 的 详细 程度 根据 安全 目标 和 一 个 组 织 为 实现 这 些 目 标 而 采取 的 方 
针 决 定 。 

组 织 的 信息 安全 策略 至 少 要 描述 : 

。 适用 范围 和 目的 ; 

。 覆盖 组 织 和 个 人 的 责任 和 权限 的 管理 规范 ; 
用 来 确定 安全 措施 实施 优先 顺序 的 规程 ; 
组 织 要 求 的 确定 安全 等 级 和 接受 残留 风险 的 规程 ; 
访问 控制 的 一 般 准 则 (对 建筑 房间、 系统 ,信息 的 逻辑 访问 控制 和 物理 访问 控制 ) ; 
为 提高 遵守 操作 规范 的 自觉 性 ,在 组 织 内 开展 安全 意识 教育 培训 的 规程 ; 
检查 和 维护 安全 的 规程 
对 一 般 员 工 的 安全 管理 制度 ; 
把 策略 中 的 规则 和 指令 传达 到 所 有 有 关 人 员 的 流程 ; 
对 策略 进行 复核 的 规程 ; 
。 对 策略 的 更 改进 行 控 制 的 规则 。 
在 对 组 织 的 信息 安全 策略 进行 描述 时 ,必须 考虑 以 下 因素 : 
。 组 织 的 信息 系统 的 安全 目标 和 方针 ; 
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组 织 范围 内 的 信息 安全 管理 模型 和 管理 流程 ; 
必须 遵从 的 技术 标准 ; 
安全 措施 的 实现 步骤 ; 

后 续 (跟踪 ) 活 动 。 

一 安全 遵从 性 检查 ; 

=- 安全 措施 的 监控 ， 

=- 对 信息 系统 的 运行 进行 监控 

=- 安全 事故 的 处 理 。 

雇用 组 织 外 安全 顾问 的 预 设 条 件 ; 

外 包工 程 和 委 外 合同 的 管理 规程 。 

为 了 保证 与 安全 管理 有 关 的 方方面面 在 实施 中 得 到 足够 的 支持 ,组 织 的 信息 安全 策略 
应 获得 高 层 管理 部 门 批准 。 

组 织 的 信息 安全 策略 应 规定 为 所 有 管理 人 员 和 员工 编写 并 分 发 有 关 操 作 规 程 。 这 可 能 
需要 每 个 员工 在 接收 文件 上 签名 ,承诺 其 在 组 织 内 的 安全 责任 ,使 安全 策略 既 反 映 组 织 的 管 
理 需求 ,又 考虑 策略 执行 者 在 权力 和 责任 之 间 的 平衡 。 进 一 步 , 应 开发 和 实施 一 个 与 此 相应 
的 安全 意识 和 培训 活动 的 计划 。 

组 织 应 指派 专人 (通常 是 信息 安全 官员 ) 负 责 组 织 的 信息 安全 策略 的 制定 和 监督 实施 ， 
同时 负责 有 关 的 后 续 活动 的 协调 ,包括 安全 遵从 性 检查 的 评审 、 事 故 和 安全 脆弱 性 的 处 理 ， 
以 及 根据 这 些 活动 的 结果 可 能 需要 对 组 织 的 信息 安全 策略 进行 变更 或 调整 等 事项 。 

5.4.2.2 风险 分 析 方 法 

信息 系统 风险 分 析 方 法 一 般 有 4 种 ,分 别 是 基线 法 、 非 正式 ( 规 ) 法 \ 详 细 风 险 分 析 法 和 
组 合法 。 

1. 基线 法 

这 是 一 种 在 信息 系统 中 基于 基线 保护 的 应 对 风险 的 方法 ,实际 上 并 不 逐一 地 进行 具体 
的 风险 分 析 。 假 设 一 个 组 织 的 信息 系统 只 有 在 实施 某 种 等 级 的 安全 保护 措施 情况 下 才能 获 
得 最 佳 的 安全 费用 效率 比 ,那么 这 种 信息 系统 宜 选 择 基 线 法 来 反映 信息 系统 需要 的 大 多 数 
保护 ,然后 针对 其 中 采用 基线 保护 措施 未 能 控制 的 风险 额外 地 配置 相应 的 安全 措施 予以 
应 对 。 

具体 做 法 是 , 先 建立 一 个 基线 安全 措施 目录 ,包括 若干 组 不 同安 全 等 级 的 最 少数 量 的 安 
全 措施 集 ,分 别 对 应 一 个 组 织 的 所 有 或 一 些 信 息 系统 的 安全 保护 ,选取 安全 措施 目录 中 某 一 
组 安全 措施 为 信息 系统 建立 合适 的 基线 保护 。 目 录 中 的 每 一 组 安全 措施 均 可 以 满足 某 一 安 
全 等 级 的 保护 需求 ,对 抗 信息 系统 中 最 常见 和 最 普遍 的 威胁 。 通 过 比较 分 析 , 可 以 调整 基线 
保护 的 等 级 来 适应 组 织 的 安全 需要 ,这 里 不 需要 对 脆弱 性 、 威 胁 和 风险 进行 对 应 性 的 完整 
评估 。 

基线 法 的 使 用 减少 了 组 织 在 执行 风险 评估 时 所 需 的 安全 投入 。 

基线 安全 措施 目录 要 详细 说 明 需 要 用 到 的 安全 措施 的 效能 和 适用 方法 ,或 者 给 出 安全 
措施 适用 保护 对 象 的 说 明 或 建议 。 基 线 安全 措施 目录 可 由 具有 技术 能 力 的 组 织 自己 定制 ， 
也 可 以 由 第 三 方 的 信息 安全 咨询 服务 公司 在 国家 有 关 技术 规 范 与 标准 指导 下 编制 , 供 各 类 
信息 系统 选择 。 
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基线 法 的 优点 如 下 : 
。 风险 分 析 和 风险 管理 所 需要 的 资源 数量 最 小 ,选择 保护 措施 时 耗费 的 时 间 和 工作 量 
最 少 ; 
。 基线 保护 措施 是 一 种 效 费 比 高 的 解决 方法 。 如 果 组 织 的 大 量 信息 ( 子 ) 系 统 都 在 普 
通 环境 下 运行 ,很 多 ( 子 ) 系 统 都 可 以 简便 地 采用 基线 方法 。 
基线 法 的 缺点 如 下 : 
。 如 果 基 线 水 平 设置 得 太 高 ,那么 整个 信息 系统 的 安全 保护 成 本 可 能 会 抬 高 ， 
。 如 果 基 线 水 平 设置 得 太 低 , 那 么 信息 系统 中 某 些 部 分 的 安全 保护 等 级 可 能 无 法 达 
到 ,从 而 导致 不 可 接受 的 风险 ; 
。 在 对 与 安全 相关 的 变更 进行 管理 时 可 能 出 现 困难 。 例 如 ,如 果 一 个 系统 升级 了 ,就 
很 难 评估 初始 的 基线 保护 措施 是 否 足 够 。 
2. 非 正 式 ( 规 ) 法 
这 种 方法 是 对 信息 系统 中 的 所 有 部 分 (组 件 . 子 系统 ) 采 用 一 种 非 正式 的 ,但 却 实用 的 风 
险 分 析 。 它 不 是 基于 结构 化 的 方法 ,而 是 利用 个 人 的 经 验 和 知识 识别 出 主要 的 风险 及 其 分 
布 情况 。 当 组 织 内 部 没有 可 以 胜任 这 一 工作 的 信息 安全 专家 时 ,组 织 外 的 信息 安全 专家 们 
也 可 以 受 委 托 进行 类 似 分 析 。 
这 种 方法 的 优点 是 进行 这 种 非 正式 的 系统 风险 分 析 不 需要 学 习 更 多 的 技能 ,而 且 比 详 
细 的 风险 分 析 快 捷 和 简单 ,所 以 这 种 方法 适用 于 小 型 企 事业 单位 的 信息 系统 ,比较 经 
实惠 。 
这 种 方法 的 缺点 如 下 : 
。 由 于 分 析 没 有 采用 结构 化 的 方法 ,所 以 可 能 漏 掉 一 些 风险 或 风险 区 域 ; 
。 保护 措施 只 是 针对 已 被 识别 的 脆弱 性 、 威 胁 及 影响 所 评估 的 风险 ,从 而 进行 配置 的 ， 
而 没有 考虑 到 由 于 个 人 经 验 的 局 限 性 导致 未 被 识别 的 脆弱 性 和 潜在 威胁 ; 
由 于 采用 非 正式 的 方法 ,分 析 结 果 可 能 受 风险 评估 人 员 的 主观 因素 和 个 人 偏好 的 
局 限 ; 
很 难 证 明 根 据 这 种 风险 评估 方法 所 采用 的 保护 措施 是 否 合理 和 充分 ,因此 会 给 残留 
风险 的 评估 带 来 不 确定 因素 ; 
。 由 于 在 安全 措施 的 选择 上 缺乏 调整 余地 ,所 以 安全 措施 的 费用 也 很 难 调整 ; 
。 在 不 进行 风险 的 重新 评估 的 情况 下 ,如 果 系 统 的 变更 与 安全 相关 ,很 难 对 这 些 变 更 
引起 的 风险 进行 管理 。 
基于 以 上 缺点 ,这 种 非 正 式 的 风险 分 析 方 法 对 安全 保护 要 求 较为 严格 的 大 中 型 信息 系 
统 并 不 是 一 个 有 效 的 方法 。 
3. 详细 风险 分 析 法 
这 种 方法 包括 对 信息 系统 资产 的 识别 、 对 资产 脆弱 性 和 面临 的 威胁 及 影响 的 系统 性 分 
析 过 程 。 这 种 风险 分 析 方 法 是 一 种 结构 化 的 分 析 方 法 ,通过 识别 资产 的 风险 给 出 信息 系统 
的 风险 分 布 及 其 强度 (一 个 以 序列 等 级 表示 的 序列 值 ) 的 详细 列表 ,为 导出 信息 安全 需求 、 识 
别 和 选择 安全 保护 措施 提供 准确 的 适用 对 象 ,从 而 可 以 保证 信息 系统 所 属 组 织 通 过 风险 管 
理 可 将 风险 降低 到 可 接受 的 程度 。 
详细 风险 分 析 过 程 如 图 5. 10 所 示 。 
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5.10 详细 风险 分 析 过 程 


详细 风险 分 析 的 步骤 描述 如 下 。 

1) 资产 识别 

资产 是 信息 系统 中 对 组 织 有 价值 的 信息 系统 构成 要 素 ( 即 资源 )。 在 一 般 情况 下 ,对 信 
息 系 统 资源 和 资产 并 不 做 严格 区 分 。 一 个 组 织 为 信息 系统 资源 确定 价值 ,并 且 对 它 进行 保 
护 。 对 资产 进行 识别 时 ,首先 要 识别 信息 系统 资源 ( 即 信息 系统 构成 要 素 ) ,这 里 所 说 的 信息 
系统 资源 不 仅 是 由 数据 (信息 )、 硬 件 和 软件 组 成 的 网 络 信息 系统 中 的 要 素 , 而 且 包 括 设计 、 
建设 .管理 和 使 用 这 些 信息 系统 的 人 以 及 运行 环境 。 资 产 类 型 包括 : 


数据 /信息 体 ( 例 如 包含 各 种 类 型 的 数据 、 产 品 的 信息 等 ); 

硬件 (例如 各 类 计算 机 及 其 外 围 设备 ,各 种 读 / 写 存储 设备 ,网络 交 换 与 通信 设备 、 传 
输 媒体 和 通信 终端 设备 等 ); 

软件 ,包括 管理 控制. 通信、 存储 和 业务 应 用 程序 (例如 主机 和 网 络 操作 系统 ,管理 
协议 .通信 协议 ,数据库 管理 系统 ,文字 处 理 程序 ,为 特定 业务 开发 的 应 用 程序 等 ); 
固件 (例如 软盘 、 只 读 存 储 器 光碟 、 可 编程 只 读 存 储 器 和 移动 存储 器 等 ); 

文档 (例如 组 织 的 各 类 业务 文档 和 归档 档案 ,合作 合同 、 管 理 的 和 技术 的 资料 等 ); 
软件 产品 ; 

服务 流程 (例如 信息 服务 和 计算 资源 共享 ) ; 

服务 过 程 中 的 秘密 信息 (例如 支付 服务 流程 和 方法 等 ); 
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。 信息 系统 设计 、 建 设 , 管 理 , 使 用 和 维护 人 员 ; 等 等 。 

在 实际 工作 中 ,风险 分 析 人 员 应 针对 信息 系统 的 实际 情况 ,按照 上 述 列 项 (而 不 是 照搬 
上 列 款项 ?识别 出 需要 保护 的 信息 系统 资产 。 

需要 保护 的 所 有 资产 都 必须 进行 识别 和 标识 ,应 保证 需要 识别 的 资产 不 被 遗漏 。 

2) 资产 价值 的 估计 

列 出 信息 系统 的 所 有 资产 后 ,应 该 给 这 些 资产 确定 价值 ,这 些 价 值 代表 了 资产 对 一 个 组 
织 业务 的 重要 性 。 基 于 组 织 的 业务 需要 ,对 资产 的 识别 和 估价 是 风险 分 析 中 的 重要 环节 。 
确定 了 价值 的 信息 系统 资产 即 是 风险 分 析 中 需要 关注 的 资产 。 

对 信息 资产 价值 的 估计 应 该 从 组 织 内 那些 参与 业务 计划 、 财 务 、 信 息 系统 建设 和 其 他 相 
关 活 动 的 人 中 寻求 支持 ,以 使 每 一 个 资产 估 值 是 合理 的 。 资 产 价值 应 与 获得 和 维护 这 些 资 
源 的 费用 有 关 , 还 应 与 这 些 信 息 系 统 资产 的 机 密 性 .完整 性 可用性、 可 确认 性 和 可 靠 性 的 丧 
失 而 造 成 的 潜在 的 业务 负面 影响 有 关 。 然 而 并 不 存在 一 种 直接 的 或 简单 的 方法 对 所 有 的 资 
源 确 定 经 济 上 的 货币 化 价值 ,因此 还 应 同时 采用 非 货币 化 的 计算 方法 ,将 对 组 织 业务 产品 或 
服务 质量 .社会 效益 、 组 织 信 誉 等 的 影响 因素 考虑 到 对 资源 的 价值 评估 中 ,否则 将 不 能 准确 
估计 所 需 安全 保护 等 级 以 及 组 织 为 保护 这 些 资 源 应 投入 的 安全 成 本 。 

估价 尺度 可 以 是 低 、 中 和 高 3 个 等 级 数值 ,或 者 5 个 等 级 数值 , 即 可 忽略 的 、 低 、 中 、 高 、 
很 高 ,还 可 以 有 其 他 的 确定 资产 价值 的 更 细 粒 度 的 度量 尺度 。 不 管 采用 什么 度量 方法 ,以 下 
情况 所 导致 的 影响 必须 在 估价 中 予以 考虑 : 
违反 法 律 或 法 规 ,或 错误 理解 .使 用 法 律 法 规 引起 的 负面 影响 ; 
业务 性 能 下 降 造成 的 损失 ; 
信誉 或 名 誉 损失 所 产生 的 负面 影响 ; 
与 个 人 信息 相关 的 机 密 性 和 完整 性 损坏 ; 
员工 安全 受到 的 危害 ; 
商业 信息 的 机 密 性 和 完整 性 受到 破坏 ; 
资金 或 虚拟 资金 损失 ; 
业务 活动 的 中 断 ; 
环境 安全 受到 破坏 ; 
信息 系统 中 其 他 在 估价 时 应 考虑 的 情况 ,例如 在 实现 业务 或 其 安全 保护 措施 时 , 采 
用 了 不 适当 的 技术 措施 (典型 例子 是 在 加 密 技术 中 引入 了 未 经 国家 允许 的 算法 ) 可 
能 带 来 的 后 果 。 

在 这 一 阶段 需要 强调 的 是 ,估价 的 方法 不 仅 允许 进行 定量 的 计算 ,而 且 在 进行 定量 计算 
不 可 能 或 不 合 逻 辑 时 ,必须 进行 定性 的 评估 (例如 生命 形 失 的 潜在 损失 、 公 司 信誉 损失 ) ,并 
对 所 用 的 估价 尺度 给 出 解释 。 

对 某 一 ( 些 ) 资 产 的 价值 进行 估计 可 能 还 要 与 信息 系统 所 属 组 织 的 规模 和 特点 建立 联 
系 , 例 如 一 定数 量 的 资金 损失 对 一 个 小 公司 来 讲 可 能 是 致命 的 ,但 对 一 个 大 型 公司 来 讲 也 许 
并 不 重要 ,甚至 可 以 忽略 不 计 。 

某 一 ( 些 ) 资 源 对 其 他 资源 的 依赖 性 也 需要 识别 ,因为 这 种 依赖 性 可 能 影响 对 资产 价值 
的 评估 。 例 如 ,在 整个 信息 处 理 过 程 中 必须 保持 数据 的 机 密 性 ,这 样 数据 处 理 过 程 后 的 机 密 


96 
i 


性 就 依赖 于 被 处 理 数据 最 初 状态 时 的 机 密 性 ,如 该 数据 在 处 理 前 的 存储 设备 缺乏 保护 ,那么 
不 管 该 数据 在 处 理 过 程 中 采用 什么 保护 措施 都 是 无 济 于 事 的 ; 又 如 ,一 个 业务 过 程 (例如 
ATM 机 存 / 取 款 过 程 ) 依 赖 于 某 个 程序 (例如 数据 库 管理 程序 ) 产 生 的 该 用 户 数 据 的 完整 
性 ,那么 该 程序 输出 的 数据 就 必须 是 完整 和 可 靠 的 ; 再 如 ,信息 的 完整 性 依赖 于 存储 和 处 理 
该 信息 的 硬件 和 软件 系统 的 安全 性 。 进 一 步 说 ,硬件 的 可 靠 运行 也 依赖 于 电力 供应 ,可 能 还 
有 空调 等 环境 条 件 。 因 此 ,有 关 依 赖 关 系 的 分 析 将 对 特定 脆弱 性 和 相关 威胁 的 识别 提供 帮 
助 ,这 将 有 助 于 将 资产 的 真实 价值 (通过 依赖 关系 ) 分 配给 有 关联 关系 的 那些 资源 ,并 确保 这 
些 资产 得 到 合适 的 保护 。 
依赖 于 其 他 资产 ( 彼 资产 ) 的 资产 (此 资产 ) 所 具有 的 价值 可 用 以 下 方式 修正 ， 
。 如 果 那 些 依赖 于 彼 资产 (如 数据 ) 的 价值 低 于 或 等 于 此 资产 (如 软件 ?的 价值 , 则 此 资 
产 的 价值 保持 不 变 ; 
。 如 果 那 些 依赖 于 彼 资 产 ( 如 数据 ) 的 价值 较 高 , 则 要 根据 下 面 的 考虑 增加 此 资产 (如 
软件 ) 的 价值 : 
一 依赖 的 程度 ; 
=- 与 之 关联 的 其 他 资产 的 价值 。 
一 个 组 织 的 某 些 资产 可 能 被 某 个 资产 重复 使 用 或 被 多 个 资产 共同 使 用 ,例如 软件 程序 
副本 或 者 大 量 的 不 同 应 用 数据 存储 在 同一 设备 中 ,在 进行 资产 评估 时 必须 进行 关联 性 考虑 。 
信息 系统 资产 识别 过 程 的 最 后 输出 是 一 个 资产 及 其 价值 的 列表 ,其 中 价值 与 泄漏 (机 密 
性 保护 ) 修改 (完整 性 保护 ) ,不 可 用 和 破坏 (可 用 性 保护 ) 造 成 的 影响 以 及 为 降低 或 消除 这 
些 影 响 而 采用 安全 保护 措施 的 成 本 等 相关 。 
3) 脆弱 性 评估 
脆弱 性 评估 的 对 象 是 物理 环境 、 组 织 、 规 程 、 人 事 、 管 理 \ 行 政 , 硬 件 、 软 件 或 通信 设施 等 
信息 系统 资源 或 资产 的 弱点 或 缺陷 。 这 些 资源 的 弱点 或 缺陷 可 能 会 被 威胁 主体 开发 利用 ， 
进而 导致 对 信息 系统 资产 和 业务 的 危害 。 脆 弱 性 的 存在 本 身 并 不 造成 危害 或 损害 ,但 当 存 
在 能 利用 它 的 威胁 时 ,脆弱 性 的 问题 就 必须 考虑 。 没 有 相关 威胁 存在 的 脆弱 性 不 需要 实施 
安全 保护 措施 ,但 是 需要 监视 和 识别 可 能 出 现 的 变化 。 应 该 注意 ,一 个 未 被 正确 实施 或 虽 实 
施 了 但 效能 不 充分 的 安全 措施 ,或 没有 正确 选用 的 安全 措施 ,本 身 就 是 一 种 脆弱 性 。 
脆弱 性 一 般 与 资产 的 特性 或 属性 有 关 , 也 可 能 因 不 能 满足 在 购买 或 制造 时 所 承诺 的 功 
能 /性 能 指标 在 使 用 后 出 现 脆弱 性 或 缺陷 。 例 如 ,一 个 EEPROM( 电 可 擦 除 可 编程 只 读 存 储 
器 ) 的 特性 之 一 就 是 上 面 能 存储 信息 并 可 以 被 控 除 和 蔡 换 。 这 本 是 一 个 EEPROM 的 设计 
准则 ,然而 ,这 个 特性 也 意味 着 可 能 对 存储 在 EEPROM 上 的 信息 进行 未 授权 的 修改 或 
破坏 。 
识别 和 评估 可 以 被 威胁 利用 的 脆弱 性 ,并 评估 其 弱点 或 缺陷 的 等 级 ,也 就 是 被 威胁 开发 
利用 的 容易 程度 和 可 能 造成 的 损失 程度 。 脆 弱 性 评估 者 应 包括 资产 的 所 有 者 和 使 用 者 、 设 
备 专 家 以 及 硬件 和 软件 方面 的 专家 。 脆 弱 性 的 典型 例子 如 下 : 
。 未 受 保护 的 连接 (例如 接 人 因特网 ); 
。 未 受训 练 的 用 户 ; 
。 不 按 规定 选择 .使 用 和 保管 口令 .以 及 口令 字 长 度 过 短 或 易于 猜测 ,或 将 口令 字 暴 露 
在 桌面 上 等 ; 
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。 在 公共 区 域 使 用 未 加 屏蔽 的 信号 线 传 输 数据 ; 

。 没有 信息 或 软件 的 备份 ; 

。 建筑 物 或 机 房 位 于 易 遭 受 洪 水 `. 泥 石 流 等 侵害 的 场所 ; 等 等 。 

重要 的 是 在 评估 资产 的 脆弱 性 时 还 应 标识 其 严重 程度 , 即 它们 被 威胁 开发 利用 的 容易 
程度 和 可 能 造成 损失 的 程度 ,可 用 低 、 中 、 高 来 表示 ,或 用 其 他 表示 等 级 的 方法 来 度量 。 例 
如 ,一 个 系统 可 能 存在 对 其 资源 进行 冒 用 或 滥用 的 脆弱 性 ,那么 缺少 用 户 身份 鉴别 机 制 , 冒 
用 用 户 身份 的 脆弱 性 就 会 很 高 ,但 对 滥用 资源 ( 即 不 合理 地 使 用 资源 ) 的 脆弱 性 却 会 低 , 因 为 
即使 不 需 用 户 鉴别 ,用 户 还 需 对 资源 有 访问 权 才能 成 功 访问 ,因此 资源 被 滥用 的 可 能 性 也 是 
有 限 的 。 

脆弱 性 评估 的 输出 结果 应 该 是 一 个 列表 ,包含 脆弱 性 、 对 应 的 威胁 及 脆弱 性 被 利用 的 容 
易 程度 和 造成 的 损失 程度 等 内 容 。 

4) 威胁 评估 

威胁 是 利用 信息 系统 资源 的 脆弱 性 危害 信息 系统 及 其 资产 的 潜在 的 因素 。 威 胁 在 条 件 
具备 时 就 会 以 一 定 方式 影响 或 危害 信息 系统 ,导致 意外 事件 发 生 和 产生 负面 影响 。 威 胁 可 
能 是 自然 的 或 人 为 的 因素 ,威胁 的 出 现 可 以 是 偶然 的 或 蓄意 的 。 无 论 是 偶然 的 还 是 蓄意 的 
威胁 的 来 源 都 应 该 予以 识别 ,并 对 实施 威胁 获得 成 功 的 可 能 性 予以 评估 。 

威胁 评估 的 输入 应 该 从 以 下 方面 获得 : 资产 的 所 有 者 和 使 用 者 、 人 事 部 门 员 工 \ 设 施 规 
划 和 信息 技术 专家 ,以 及 组 织 的 安全 管理 人 员 等 。 其 他 组 织 , 如 国家 有 关 安 全 管理 政府 机 构 
和 社会 第 三 方 安全 咨询 服务 机 构 也 可 以 为 威胁 评估 提供 帮助 ,例如 提供 威胁 的 统计 资料 和 
共享 威胁 数据 库 ( 例 如 潜在 威胁 目录 ) ,参考 其 他 组 织 或 国际 机 构 的 威胁 目录 也 是 有 益 的 。 

一 些 普遍 的 威胁 的 表现 形式 如 下 : 

。 误 操作 和 滥用 信息 资源 ; 

。 信 息 欺 诈 和 偷窃 ; 

。 员工 车 意 破坏 或 泄露 数据 ; 

。 未 经 允许 的 黑客 技术 行为 (例如 伪装 身份 入侵 和 信息 阻塞 等 )， 

。 与 情报 有 关 的 信息 收集 活动 ; 

。 信息 监听 和 侦 听 活动 ; 等 等 。 

在 使 用 威胁 目录 或 此 前 的 威胁 分 析 结 果 时 ,应 该 意识 到 威胁 的 方法 和 路 径 是 在 不 断 变 
化 的 ,特别 是 当 业 务 环境 或 信息 系统 发 生变 化 时 。 

在 确认 了 威胁 源 ( 威 胁 行为 的 主体 ) 和 威胁 目标 (可 能 会 受到 该 威胁 的 资产 ) 后 ,评估 威 
胁 时 应 该 考虑 下 列 因素 : 

。 威 胁 出 现 的 频 度 ( 根 据 经 验 、 统 计 资 料 等 进行 粗 判 ) .持续 的 时 间 等 ; 

。 威胁 的 动机 ,被 觉察 或 估计 到 的 威胁 者 所 具有 的 潜在 攻击 能 力 , 可 能 利用 的 用 于 攻 

击 的 资源 ,以 及 信息 系统 资产 对 威胁 源 的 吸引 力 和 自身 的 脆弱 性 程度 ; 
。 威胁 源 可 利用 的 地 理性 因素 (如 从 逻辑 或 物理 角度 靠近 被 攻击 的 对 象 ) ,极端 天 气 出 
现 的 可 能 性 ,以 及 能 引起 人 类 错误 和 设备 故障 的 各 种 因素 。 

根据 对 威胁 评估 准确 性 的 要 求 , 可 能 需要 将 受 攻击 的 资产 定位 到 系统 的 具体 部 件 上 ,并 
且 将 威胁 与 部 件 对 应 地 关联 起 来 。 例 如 ,可 能 受 攻击 的 物理 资产 是 “数据 服务 器 ”, 当 这 些 服 
务 器 被 确认 处 于 不 同 的 地 理 位 置 时, 则 攻击 对 象 应 具体 地 定位 为 “数据 服务 器 1”、“ 数 据 服 
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务 器 2”……。 类 似 地 ,可 能 受到 攻击 的 软件 资产 是 一 个 “应 用 软件 ?整体 ,但 这 一 软件 却 被 
分 成 若干 子 系统 (或 模块 ) 分 布 于 信息 系统 中 不 同 的 硬件 上 时 , 则 攻击 对 象 应 定位 于 相应 的 
子 系统 所 安装 和 运行 的 硬件 上 。 又 如 关于 数据 资产 的 例子 ,一 个 记录 嫌疑 犯 证 据 的 “犯罪 记 
录 ” 的 文档 是 一 个 整体 ,但 是 却 被 分 成 “犯罪 记录 文本 ”和 “犯罪 记录 图 像 ” 分 别 存储 在 不 同 的 
服务 器 上 。 很 显然 ,在 评估 威胁 时 应 将 可 能 受 攻击 的 对 象 定位 于 不 同 的 服务 器 上 。 

威胁 评估 完成 时 将 会 有 一 个 列表 ,包含 已 识别 的 威胁 ,可 能 受 它们 攻击 的 资产 或 资产 组 
及 其 脆弱 性 的 对 应 关系 ,以 及 以 某 种 评估 尺度 (比如 高 .中 或 低 ) 表 示 的 威胁 严重 性 的 度量 。 

5) 风险 评估 

在 对 信息 系统 资源 分 布 进行 识别 ,对 资源 的 价值 进行 估算 ,识别 信息 系统 资产 的 脆弱 性 
分 布 及 程度 ,进而 评估 针对 信息 系统 资产 脆弱 性 的 威胁 实施 的 可 能 性 及 损失 程度 后 ,风险 分 
析 的 任务 就 是 识别 和 评估 信息 系统 及 其 资产 的 风险 分 布 及 强度 。 

对 于 风险 的 确定 ,需要 根据 处 于 威胁 中 资源 的 价值 及 资产 的 脆弱 性 、 资 产 的 脆弱 性 被 威 
胁 利用 的 难 易 程 度 , 以 及 威胁 针对 脆弱 性 实施 攻击 的 成 功 可 能 性 和 损失 (包括 有 形 的 和 无 形 
的 、 货 币 的 和 非 货 币 的 ?进行 综合 判断 。 

风险 可 以 用 等 级 来 度量 。 影 响 风 险 等 级 的 因素 有 资源 的 价值 脆弱 性 的 程度 、 威 胁 的 强 
度 及 利用 脆弱 性 攻击 成 功 的 难 易 程度 、 攻 击 成 功 后 给 信息 系统 造成 的 各 种 形式 的 损失 总 和 。 
在 具体 分 析 中 ,应 对 风险 影响 最 大 的 那些 因素 予以 特别 关注 。 

风险 评估 的 结果 应 该 是 一 个 已 度量 风险 的 列表 ,包括 风险 分 布 在 系统 中 的 资产 点 及 风 
险 等 级 .风险 的 表现 形式 (信息 泄露 .修改 .不 可 用 等 )、 风险 造成 的 损失 形式 (有 形 的 、 无 形 
的 ,货币 的 \ 非 货币 的 ) 等 内 容 。 

6) 安全 需求 分 析 和 安全 措施 的 选取 

按照 风险 评估 列表 中 风险 对 应 的 保护 对 象 ( 即 资产 ) ,通过 在 信息 系统 的 网 络 层 、 传 输 
层 、 应 用 层 .系统 层 和 用 户 层 上 的 某 一 层 或 某 几 层 上 选择 安全 保护 机 制 (技术 ) ,然后 转换 成 
安全 保护 措施 ,并 将 安全 保护 措施 转化 成 (包括 以 管理 和 技术 形式 出 现 的 软 /硬件 ) 安 全 设备 
或 系统 ,分 别 部 署 在 信息 系统 的 合适 位 置 , 覆 盖 整 个 风险 分 布 区 域 ,这 就 是 安全 需求 分 析 必 
须 解 决 的 问题 。 

在 采用 安全 措施 实现 安全 机 制 时 ,其 形式 可 以 是 一 个 功能 模块 一 个 子 系统 ,一 个 功能 
组 件 ,这 些 可 以 嵌入 到 某 一 应 用 进程 中 ,也 可 以 组 装 到 一 个 软 /硬件 系统 中 。 有 的 安全 措施 
可 以 为 多 个 保护 点 提供 对 抗 风险 的 能 力 , 有 的 资产 (由 于 存在 多 种 风险 ) 则 需要 多 种 安全 措 
施 的 保护 。 特 别 需 要 强调 的 是 ,不 可 期 望 某 一 个 安全 措施 可 以 对 抗 信息 系统 的 所 有 风险 。 

安全 措施 对 抗 风 险 的 策略 是 通过 阻止 降低 、 规 避 或 转移 ( 嫁 ) 对 信息 系统 资产 实施 
的 入 侵 、 攻 击 和 破坏 资产 的 行为 ,将 风险 降 到 信息 系统 所 有 者 和 管理 者 可 以 接受 或 控制 
的 水 平 。 

在 安全 措施 的 选取 过 程 中 ,还 需 遵 从 必要 的 约束 条 件 ,特别 是 那些 涉及 国家 安全 和 主权 
的 规定 ,例如 典型 的 法 律 约束 是 不 可 选取 未 经 国家 允许 的 国外 的 或 自主 开发 的 密码 设备 或 
算法 。 

关于 安全 措施 选择 方法 的 详细 介绍 , 见 第 5. 4. 3 节 “ 安 全 措施 的 选择 与 实施 ”。 

7) 可 接受 风险 

所 选择 的 安全 措施 的 实施 无 疑 可 以 降低 已 有 风险 ,但 信息 系统 总 会 有 残留 风险 。 这 些 
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遗留 在 信息 系统 中 的 风险 有 的 可 能 是 所 有 安全 措施 都 未 能 或 不 必 应 对 的 ,例如 在 一 般 商 用 
信息 系统 中 ,对 密码 算法 破译 这 类 风险 就 不 必 追 求 不 计 成 本 的 高 强度 的 密码 算法 ,又 如 在 应 
对 涉 密 信息 通过 互联 网 泄露 的 问题 上 就 没有 必要 为 此 将 整个 系统 与 互联 网 断 开 ; 有 的 则 可 
能 是 在 风险 分 析 时 漏 掉 的 。 

问题 不 在 于 这 类 残留 风险 是 否 一 定 是 存在 的 ,而 在 于 残留 风险 到 底 还 有 多 大 或 是 否 可 
控 。 在 选择 并 实施 安全 措施 后 ,应 对 信息 系统 的 残留 风险 进行 评估 。 评 估 的 结果 将 与 在 信 
息 系统 安全 规划 时 所 确定 的 可 接受 风险 进行 比较 ,比较 的 结果 会 有 一 个 差 值 ( 即 安全 风险 容 
差 )。 只 有 当 风 险 容 差 在 预期 范围 内 ,残留 风险 才 是 可 以 接受 的 或 可 控 的 ; 否则 残留 风险 是 
不 可 接受 的 ,必须 有 针对 性 地 调整 安全 措施 或 增加 安全 措施 ,并 再 次 进行 残留 风险 的 评估 
(包括 必要 时 进行 测试 ) ,直到 符合 要 求 为 止 。 需 要 指出 的 是 ,风险 评估 的 含义 包括 对 风险 的 
理论 评审 和 在 必要 时 进行 技术 性 测试 。 

综 上 所 述 ,详细 风险 分 析 方 法 的 整体 优势 是 基线 法 和 非 正式 ( 规 ) 法 不 可 及 的 ,但 并 不 要 
求 也 无 必要 对 所 有 信息 系统 的 风险 分 析 都 使 用 这 种 方法 ,因为 风险 分 析 方法 的 选择 原则 应 
服从 适度 安全 原则 (详细 风险 分 析 方 法 投入 很 大 ) ,不 计 成 本 或 脱离 信息 化 发 展现 实 去 过 度 
追求 安全 保护 不 仅 无 益 ,而且 有 害 。 

这 种 方法 的 优点 如 下 : 

。 对 信息 系统 资产 而 言 ,都 有 量 身 定制 的 安全 等 级 保护 措施 满足 其 安全 需求 ; 

”对 与 信息 安全 相关 的 系统 变动 的 管理 可 以 从 详细 风险 分 析 结 果 中 获得 知识 。 

这 种 方法 的 缺点 是 ,要 得 到 较 好 的 详细 风险 分 析 结 果 ,需要 付出 相当 多 的 时 间 、 精 力 和 
费用 ,并 且 要 求 分 析 人 员 具 有 相当 专业 的 知识 。 因 此 ,对 信息 系统 不 加 区 别 地 使 用 详细 风险 
分 析 方 法 是 不 明智 的 。 

4. 组 合法 

这 种 方法 是 将 基线 法 和 详细 风险 分 析 法 有 条 件 地 结合 起 来 ,从 而 实现 真正 意义 上 的 最 
佳 安全 效能 与 成 本 比 的 风险 分 析 方 法 。 具 体 做 法 是 首先 将 那些 对 业务 运营 来 说 有 较 高 风险 
强度 或 需要 重点 保护 的 子 系统 (或 组 件 ) 识 别 出 来 。 基 于 这 些 识 别 出 来 的 结果 将 信息 系统 分 
为 两 个 子 类 ,一 类 需要 使 用 详细 风险 分 析 法 才能 使 其 达到 合适 的 保护 , 另 一 类 则 是 只 用 基线 
法 保护 就 足够 了 。 这 就 是 信息 系统 内 的 分 类 或 分 域 保护 的 基本 思想 ,可 以 避免 对 面临 不 同 
威胁 的 信息 系统 资产 采取 同一 安全 保护 强度 措施 的 做 法 ,为 解决 信息 系统 内 一 部 分 资产 受 
到 过 分 保护 ,而 另 一 部 分 资产 却 保 护 不 够 的 问题 提供 了 一 种 可 选 方法 。 

显然 ,组 合法 综合 了 基线 法 和 详细 风险 分 析 法 的 优点 , 它 在 安全 保护 效能 和 成 本 开销 之 
间 维持 一 个 最 佳 平衡 , 既 节 约 安全 资源 ,又 满足 了 既定 的 适度 保护 要 求 。 

这 种 方法 的 优点 是 将 安全 资源 (行政 的 、 技 术 的 ) 和 资金 用 在 最 需要 的 地 方 ,并 可 获得 安 
全 保护 的 最 佳 效 能 费用 比 。 

这 种 方法 的 缺点 如 下 : 

。 如 果 对 信息 系统 中 的 高 危 风险 点 的 分 析 判 断 不 准确 ,或 需要 详细 风险 分 析 法 才能 确 

定 的 风险 点 被 遗漏 ,或 某 个 ( 些 ) 子 系统 或 组 件 的 风险 被 严重 低估 , 则 可 能 导致 无 法 
预测 的 后 果 ; 

。 对 从 事 风 险 分 析 的 专业 技术 人 员 必 须 具 备 的 信息 安全 知识 和 职业 素质 有 更 高 的 

要 求 。 
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对 于 大 中 型 信息 系统 和 重要 信息 系统 来 说 ,这 应 是 最 有 效 的 风险 分 析 方 法 。 从 近年 来 
的 风险 分 析 实 践 来 看 , 越 来 越 多 的 组 织 较为 成 功 地 运用 组 合 风险 分 析 方 法 实现 了 对 信息 系 
统 的 适度 安全 保护 ,取得 了 明显 的 社会 经 济 效益 。 


5.4.3 安全 措施 的 选择 与 实施 


对 信息 系统 进行 必要 保护 的 安全 措施 是 按照 组 织 对 信息 安全 的 规划 中 确定 的 安全 目 
标 、 方 针 和 策略 对 信息 系统 进行 风险 分 析 后 ,根据 风险 分 布 及 其 强度 予以 选择 和 实施 的 。 

以 组 合 风险 分 析 方 法 选择 安全 措施 为 例 , 为 了 选择 适当 的 安全 措施 ,有 必要 进行 一 些 基 
本 评估 。 评 估 对 象 包括 : 

。 信息 系统 的 类 型 (单机 ,还 是 网 络 ,网 络 的 互 连 互 通 情况 ); 

。 信息 系统 的 物理 位 置 和 周围 环境 条 件 ; 

。 已 经 部 署 的 和 计划 中 的 安全 措施 ; 

。 评估 所 提供 的 信息 对 于 选择 “基线 ”安全 措施 是 否 足 够 ,如 不 足够 ,是 否 需 要 增加 评 

估 选 项 进一步 获得 足够 的 信息 ,否则 应 选择 详细 风险 分 析 方 法 来 选择 安全 措施 。 
风险 分 析 与 安全 措施 的 选择 之 间 的 关系 如 图 5. 11 所 示 。 


启动 风险 分 析 进 程 


单一 的 或 分 类 
的 基线 方法 


按照 IT 系 统 类 型 
选择 安全 措施 


按照 威胁 情况 分 类 
选择 安全 措施 


5.11 安全 措施 的 选择 方法 


实施 详细 风险 分 析 法 可 以 对 风险 状况 有 一 个 全 面 .深入 的 结构 化 认识 。 如 果 组 织 的 业 
务 运行 在 很 大 程度 上 依赖 信息 系统 或 服务 ,或 信息 系统 所 处 理 的 信息 非常 敏感 ,信息 系统 结 
构 复杂 ,整体 风险 比较 高 , 且 其 中 的 高 危 风 险 分 布点 相互 覆盖 和 交叉 情况 严重 , 则 应 在 详细 
风险 分 析 的 基础 上 选择 安全 措施 ,这 样 可 以 避免 对 一 部 分 资产 保护 过 度 , 而 对 另 一 部 分 资产 
欠 保 护 的 情况 。 

另 一 方面 ,对 于 一 些 高 危 风险 相对 集中 且 易 于 识别 ,或 信息 系统 结构 相对 简洁 且 面 临 的 
整体 风险 较 低 的 情况 ,采用 基线 法 选择 安全 措施 是 较为 简单 易 行 的 方法 。 这 种 方法 即 是 为 
信息 系统 选择 一 套 满足 信息 系统 安全 需求 的 最 低 保护 标准 的 安全 措施 ,也 称 为 基线 安全 模 
式 。 在 采用 基线 安全 模式 评估 风险 后 选择 安全 措施 时 ,必须 考虑 可 以 利用 的 安全 资源 、 安 全 
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保护 重点 以 及 所 涉及 的 信息 系统 的 业务 保护 类 型 和 特点 。 使 用 基线 法 选择 有 下 面 两 条 
途径 : 

”根据 信息 系统 的 业务 保护 类 型 和 特点 选择 统一 的 基线 安全 措施 ; 

”按照 安全 保护 重点 和 威胁 情况 分 类 选择 基线 安全 措施 。 

图 5. 12 给 出 了 根据 信息 系统 业务 保护 类 型 或 根据 安全 保护 重点 和 威胁 分 类 选择 安全 
措施 的 过 程 , 可 以 看 作 是 对 图 5. 11 的 补充 。 

基础 性 评估 
系统 类 型 的 识别 

物理 条 件 /环境 条 件 的 识别 

对 已 部 署 的 或 计划 中 的 安全 措施 的 评估 


简单 或 高 级 
的 基线 方法 


“基线 "模式 : 根据 信息 系统 的 类 型 来 选择 安全 措施 根据 安全 保护 重点 和 安全 威胁 来 选择 安全 措施 


具有 普遍 适用 性 的 安全 措施 对 安全 保护 重点 的 评估 
信息 系统 定制 的 安全 措施 保护 机 密 性 的 安全 措施 
保护 完整 性 的 安全 措施 


维护 数据 可 用 性 的 安全 措施 
保证 可 确认 性 、 真 实 性 和 可 靠 性 的 安全 措施 


5.12 根据 信息 系统 类 型 或 安全 保护 重点 和 威胁 选择 安全 措施 


如 果 组 织 的 业务 运作 以 中 等 程度 依赖 信息 系统 或 服务 ,或 信息 系统 所 处 理 的 信息 比较 
敏感 ,那么 就 需要 更 多 的 (分 类 ) 基 线 安全 措施 ,在 这 种 情况 下 ,为 了 使 所 选择 的 安全 措施 有 
效 地 保护 信息 系统 ,最 好 是 对 所 关注 信息 保护 点 的 风险 进行 分 类 分 析 。 

图 5. 12 中 的 “高 级 方法 ”只 是 说 明了 应 该 对 不 同类 型 的 风险 选用 不 同 的 安全 措施 ,这 些 
安全 措施 可 以 是 基线 安全 模式 中 分 类 的 基线 安全 措施 ,也 可 以 是 根据 详细 风险 分 析 后 选择 
的 各 类 安全 保护 措施 。 一 般 来 说 ,详细 的 风险 分 析 方 法 对 于 “基线 "安全 措施 的 选择 肯定 是 
有 帮助 的 。 

因此 ,组 织 在 选择 安全 措施 之 前 必须 做 的 一 个 决定 是 只 单纯 地 使 用 “基线 ”方法 ,还 是 把 
“基线 ”方法 作为 更 广 范围 内 的 风险 分 析 战 略 的 一 部 分 。 在 做 此 决定 时 需要 知道 的 是 前 者 的 
安全 效果 很 可 能 要 低 于 后 者 。 如 果 考 虑 到 安全 措施 选择 过 程 中 的 成 本 、 资 源 的 耗费 ,以 及 对 
信息 系统 的 适度 安全 保护 水 平 ,那么 在 一 些 安全 要 求 不 高 的 小 型 网 络 中 使 用 “基线 ”模式 是 
最 具 安 全 效能 和 成 本 比 的 。 

如 果 一 个 组 织 决定 要 在 其 整个 信息 系统 中 或 部 分 子 系统 中 应 用 “基线 "安全 模式 ,那么 
需要 决定 组 织 的 哪些 子 系统 可 以 使 用 相同 的 “基线 ”, 以 及 这 种 “基线 ”应 该 达到 什么 样 的 安 
全 保护 等 级 水 平 。 在 绝 大 多 数 情况 下 .使 用 “基线 "安全 模式 仅 能 保证 最 低 的 安全 保护 等 级 ， 
当 涉 及 中 等 级 以 上 的 风险 时 还 要 实施 额外 的 安全 保护 措施 。 而 在 有 的 情况 下 ,“ 基 线 ” 安 全 
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措施 只 是 达到 信息 系统 安全 保护 整体 要 求 的 必要 条 件 , 要 使 信息 系统 整体 安全 保护 水 平 充 
分 满足 信息 安全 规划 时 确定 的 安全 目标 ,可 能 需要 根据 风险 分 析 的 结果 在 “基线 ”安全 保护 
措施 实施 后 进行 必要 的 调整 或 额外 地 增加 安全 措施 。 

在 基线 安全 模式 下 ,对 组 织 或 部 门 的 “基线 "安全 措施 目录 进行 编制 ,完善 和 归档 通常 是 
非常 必要 的 。 

5.4.3.1 基础 性 评估 

在 选择 安全 措施 的 过 程 中 ,需要 一 些 信息 系统 的 类 型 和 特征 的 信息 (例如 单机 PC, 还 是 
连接 到 内 部 或 外 部 网 络 的 PC, 是 独立 的 局 域 网 还 是 与 外 部 网 络 互 连 的 网 络 ) ,对 建筑 物 、 房 
间 和 物理 环境 等 基础 设施 的 信息 ,以 及 已 有 的 安全 措施 效能 的 评估 信息 。 这 些 信息 对 安全 
措施 的 选择 和 完善 有 着 重大 的 影响 。 

1. 识别 信息 系统 类 型 和 特点 

识别 信息 系统 类 型 和 特点 的 内 容 如 下 : 

。 系统 内 独立 的 PC 机 工作 站 或 服务 器 ; 

。 通过 网 络 相互 连接 但 不 共享 资源 的 PC 机 工作 站 或 服务 器 ; 
通过 网 络 相互 连接 并 共享 资源 的 PC 机 、 工 作 站 或 服务 器 ; 

。 组织 的 网 络 与 外 部 网 络 物理 隔离 ; 

。 组 织 的 网 络 与 外 部 网 络 逻辑 隔离 ; 

。 组 织 的 网 络 与 互联 网 连接 ,或 与 组 织 外 的 信息 设备 共享 信息 。 

2. 评估 物理 环境 

对 环境 的 评估 包括 识别 组 织 信息 系统 的 位 置 和 对 周边 环境 的 控制 程度 ,识别 组 织 机 构 
环境 中 需要 特别 关注 的 安全 风险 ,已 有 的 或 计划 中 的 支持 或 保障 物理 环境 安全 的 安全 措施 ， 
并 评估 安全 措施 与 物理 环境 安全 要 求 的 适应 程度 ,这 些 工作 对 安全 措施 的 选择 是 否 成 功 至 
关 重 要 。 评 估 可 通过 回答 下 列 问题 进行 。 

1) 建筑 物 和 周边 环境 
建筑 物 的 位 置 是 有 围墙 的 单独 场所 ,还 是 毗连 车 水 马龙 的 大 街 ? 
建筑 物 是 独占 还 是 共同 占有 ? 
如 果 是 共同 占有 ,那么 与 其 他 占有 者 的 关系 是 否 可 控 ? 
敏感 /关键 区 域 的 周边 情况 是 否 可 控 ? 
对 访问 的 控制 
除 组 织 的 员工 外 ,还 有 哪些 人 可 以 进入 建筑 物 ? 
组 织 的 信息 系统 资源 所 在 区 域 与 同一 建筑 物 内 其 他 区 域 是 否 有 物理 控制 措施 和 访 
问 控制 制度 ? 
在 建筑 物 内 适当 的 位 置 安装 了 视频 监控 系统 吗 ? 
建筑 物 结构 的 牢固 程度 如 何 ? 
门 、 窗 户 等 设施 的 牢固 程度 如 何 ? 对 它们 采取 了 何 种 保护 措施 ? 
建筑 物 有 保安 吗 ? 如 果 有 ,是 每 天 24 小 时 全 天 候 保卫 ,还 是 仅仅 在 工作 时 间 保 卫 ? 
建筑 物 或 放 有 关键 装备 的 房间 是 否 配备 了 报警 器 ? 
3) 已 有 的 安全 措施 
。 对 放置 信息 系统 的 房间 采取 了 哪些 保护 措施 ? 
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。 在 信息 系统 关键 或 重要 资源 放置 场所 配备 了 烟雾 检测 警报 和 灭火 设施 吗 ? 

。 在 信息 系统 关键 或 重要 资源 放置 场所 配备 了 水 /液体 的 泄漏 检测 装置 .泄漏 警报 装 
置 和 排泄 设施 吗 ? 

。 信息 系统 有 不 间断 电源 (UPS) 和 空调 (对 温度 和 湿度 进行 控制 ) 等 支持 系统 吗 ? 

通过 回答 这 些 问题 能 够 容易 地 识别 出 在 物理 环境 区 域 里 已 存在 的 各 种 安全 措施 。 例 如 
当 考察 建筑 物 的 门禁 时 ,可 以 同时 确认 门 锁 以 及 其 他 物理 访问 控制 措施 。 

3. 对 已 有 或 计划 中 安全 措施 的 评估 

在 搞 清 信息 系统 的 组 件 类 型 特点 及 其 物理 环境 情况 后 ,应 对 其 中 已 配置 到 位 或 计划 中 
的 安全 措施 进行 确认 ,以 避免 重复 选择 安全 措施 ,消除 安全 措施 配置 元 余 可 能 引起 的 冲突 ; 
也 有 助 于 将 已 实现 的 或 计划 中 的 安全 措施 与 所 选择 的 安全 措施 的 安全 效能 进行 互补 性 和 增 
强 性 的 有 机 结合 。 

在 选择 安全 措施 时 ,必须 考虑 已 有 安全 措施 (包括 已 实施 的 和 计划 实施 的 ) 与 新 选择 的 
安全 措施 之 间 的 兼容 性 ,避免 新 的 安全 措施 与 已 有 的 安全 措施 之 间 发 生 冲 突 ,或 者 不 能 顺利 
地 运行 和 提供 对 系统 的 预期 保护 。 

为 了 对 已 有 或 计划 中 的 安全 措施 进行 确认 ,下 列 活动 是 有 帮助 的 : 

。 查阅 有 关 安 全 措施 信息 (例如 信息 系统 安全 设计 方案 和 工程 设计 ) 的 文件 ,如 果 安 全 
管理 过 程 的 文档 齐全 ,那么 相应 的 文件 中 应 该 列 有 所 有 已 有 或 者 计划 的 安全 措施 的 
选取 或 实施 的 信息 ; 

。 从 信息 系统 有 关 人 员 ( 如 信息 系统 安全 官员 设计 、 施 工 或 运 维和 人 员 ) 和 使 用 人 员 那 
里 核对 信息 系统 中 那些 已 经 运行 和 正在 实施 的 安全 措施 的 详细 情况 ; 

。 仔细 观察 信息 系统 内 各 项 软 / 硬 件 形式 的 安全 措施 ,将 已 经 实现 的 安全 措施 与 应 该 
实现 的 新 的 安全 措施 进行 比较 ,以 便 确定 在 实现 的 新 的 安全 措施 后 是 否 存 在 遗漏 和 
安全 保护 能 力 不 足 的 情况 。 

。 复 核 已 实现 的 安全 措施 是 否 正 确 地 运行 ,以 及 与 设计 的 安全 效能 的 符合 情况 。 

如 果 发 现 已 有 安全 措施 超出 了 当前 的 安全 需求 ,可 考虑 或 拆除 某 些 组 件 或 设备 ,或 通过 
管理 配置 印 掉 多 余 配 置 的 安全 措施 。 在 决定 拆除 某 些 安全 设备 或 通过 管理 配置 印 掉 某 些 安 
全 功能 时 ,必须 认真 评估 这 些 行为 对 整体 安全 保护 效果 的 影响 ,保证 这 些 行为 能 提升 信息 系 
统 运行 效率 和 降低 安全 开销 的 同时 , 仍 能 确保 信息 系统 的 安全 等 级 保护 水 平 符合 组 织 在 安 
全 规划 中 提出 的 安全 目标 。 需 要 特别 提醒 的 是 ,由 于 安全 措施 之 间 是 相互 影响 的 ,去 掉 多 余 
的 安全 措施 可 能 降低 整体 的 安全 性 ,因此 在 做 此 决定 时 要 十 分 谨慎 和 小 心 。 

5.4.3.2 安全 措施 

这 一 节 将 对 用 来 实施 安全 保护 的 安全 机 制 和 安全 措施 做 一 般 性 的 介绍 。 在 这 些 安全 措 
施 中 ,一 部 分 是 保护 机 制 , 另 一 部 分 是 安全 服务 。 在 对 安全 措施 进行 阐述 时 ,这 里 并 不 考虑 
选择 方式 。 有 一 些 安全 措施 可 以 使 用 任何 方式 进行 选择 ,而 有 的 则 应 该 或 只 能 通过 详细 风 
险 分 析 方式 来 选择 。 

为 了 便于 描述 各 种 类 型 的 安全 机 制 和 安全 服务 措施 ,这 里 引入 了 安全 措施 类 别 的 概念 。 
安全 措施 可 大 致 分 为 管理 性 安全 措施 和 技术 性 安全 措施 。 其 中 ,管理 性 措施 指 那些 与 组 织 
所 属 机 构 属性 有 关 的 组 织 管理 策略 原则 、 组 织 的 行政 措施 和 法 律 约束 活动 等 ; 技术 性 安全 
措施 主要 指 以 技术 形式 表现 的 包括 以 软件 形式 和 硬件 形式 实现 的 安全 机 制 和 服务 措施 。 
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1. 管理 性 安全 措施 

下 面 罗列 在 选择 和 实现 过 程 中 常见 的 各 种 管理 性 安全 措施 ,罗列 的 顺序 不 考虑 安全 措 
施 实 施 的 先后 顺序 或 逻辑 关系 。 

1) 信息 安全 管理 和 策略 原则 

此 类 安全 措施 包含 在 信息 系统 安全 生命 周期 的 各 个 阶段 实施 管理 ,以 及 各 阶段 之 间 保 
持 一 致 性 的 活动 与 对 这 些 活动 的 规范 。 这 些 安 全 措施 在 于 使 整个 组 织 在 信息 系统 生命 周期 
中 保持 合适 的 ,一 致 的 安全 目标 、 方 针 和 策略 。 下 面 列 出 了 此 范围 内 的 常见 安全 措施 。 

(1) 制定 组 织 的 信息 安全 策略 

编写 含有 规则 、 指 令 .惯例 的 书面 文件 ,用 来 描述 在 组 织 内 部 应 怎样 管理 资产 和 保护 资 
产 。 在 信息 安全 策略 文件 中 应 指明 哪些 信息 系统 资产 需要 管理 和 保护 ,以 及 对 其 进行 管理 
和 保护 的 规程 。 

(2) 制定 信息 系统 安全 策略 

对 每 一 个 信息 系统 制定 含有 规则 、 指 令 、 惯 例 的 书面 文件 ,用 来 描述 组 织 识别 已 有 的 或 
有 必要 增加 的 安全 措施 的 规范 ,其 中 已 有 的 安全 措施 包括 计划 中 和 正在 实施 的 安全 措施 。 

(3) 信息 安全 管理 

以 适合 本 组 织 的 制度 化 和 规范 化 的 活动 方式 对 信息 系统 生命 周期 过 程 中 的 安全 实施 管 
理 , 并 使 所 有 的 安全 管理 活动 在 组 织 内 保持 协调 和 一 致 。 在 这 一 过 程 管 理 中 ,信息 安全 委员 
会 .信息 安全 官员 对 组 织 的 信息 安全 管理 活动 进行 协调 和 监督 。 

(4) 分 配 责任 

将 组 织 内 各 层级 、 各 部 门 .各 岗位 在 信息 系统 安全 中 的 责任 明确 地 写 入 文件 ,并 根据 组 
织 的 部 门 性 质 制定 具有 可 操作 性 和 便于 监督 的 管理 规范 ,根据 岗位 特点 制定 具有 可 操作 性 
和 便于 检查 的 操作 规程 ,做 到 各 类 人 员 在 安全 管理 中 权利 和 义务 的 相对 平衡 。 

(5) 管理 活动 的 信息 安全 

对 所 有 管理 业务 的 流程 (如 采购 、 组 织 内 的 协调 ,与 其 他 组 织 的 沟通 与 合作 等 ) 都 应 以 安 
全 的 方式 进行 组 织 , 提 供 对 信息 安全 管理 的 系统 性 支持 。 

(6) 确认 和 评估 重点 保护 资产 

对 组 织 内 与 信息 系统 有 关 的 资源 进行 识别 ,并 评估 这 些 资源 对 组 织 业务 的 价值 ,对 那些 
具有 关键 作用 和 重要 价值 的 资产 予以 特别 关注 。 

(7) 信息 系统 验收 中 的 安全 审查 

在 信息 安全 策略 指导 下 验收 信息 系统 ,对 于 验收 过 程 的 每 一 步 都 要 审查 实现 业务 流程 
过 程 中 的 安全 措施 是 否 能 提供 对 业务 流程 适当 的 保护 等 级 水 平 。 

2) 遵从 性 检查 

对 信息 安全 措施 从 设计 开始 到 报废 的 整个 过 程 都 要 进行 遵从 相关 的 法 律 法规, 政策 和 
安全 策略 的 检查 、 复 核 和 审计 等 活动 .这 是 确保 安全 机 制 和 服务 措施 有 效 发 挥 安全 保护 作用 
的 约束 性 措施 。 这 一 方面 的 安全 管理 措施 如 下 : 

(1) 遵从 信息 安全 策略 

由 信息 系统 的 安全 管理 官员 定期 检查 所 有 用 户 遵从 信息 安全 策略 的 情况 ,并 组 织 对 所 
有 的 信息 系统 的 安全 措施 与 信息 安全 设计 中 列 出 的 相关 的 安全 措施 和 技术 标准 一 致 性 的 
复核 。 
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(2) 遵从 法 律 和 法 规 

检查 信息 系统 运行 中 遵从 所 在 国 的 法 律 和 法 规 ( 如 数据 保护 和 隐私 保护 、 软 件 复 制 、 组 
织 档 案 记录 保护 及 加 密 技 术 等 方面 的 相关 立法 ) 情 况 。 在 信息 安全 策略 中 必须 保证 将 这 种 
遵从 性 写 入 法律 要 求 条 款 中 ,并 确保 信息 系统 的 每 项 安全 措施 在 实现 时 是 满足 这 些 法 律 要 
求 的 。 

3) 处 理 安全 事件 

信息 系统 中 的 每 个 岗位 的 员工 都 应 按 报告 制度 将 发 现 的 安全 事件 的 有 关 信息 和 活动 及 
时 向 组 织 的 安全 管理 人 员 报 告 ,并 依照 操作 规程 及 时 处 理 安全 事件 中 属于 本 岗位 职能 应 该 
做 的 事务 。 有 关 处 理 安全 事件 的 事务 如 下 : 

(1) 报告 安全 事件 

信息 系统 中 的 每 一 位 员工 在 发 现 安全 事件 发 生 或 可 能 发 生 安全 事件 的 有 关 信 息 ( 如 线 
索 、 预 兆 ) 时 要 及 时 报告 有 关 的 安全 管理 人 员 。 

(2) 报告 安全 漏洞 或 缺陷 

信息 系统 的 使 用 人 员 一 旦 发 现 与 本 系统 有 关 的 任何 安全 漏洞 或 缺陷 ,必须 立即 报告 给 
组 织 的 信息 安全 管理 人 员 。 

(3) 报告 软件 故障 

信息 系统 的 使 用 人 员 一 旦 发 现任 何 的 软件 故障 ,必须 立即 终止 正在 处 理 的 事务 ,同时 报 
告 信息 系统 管理 员 。 

(4) 管理 安全 事件 

由 组 织 制定 对 信息 安全 事件 的 管理 流程 ,支持 对 安全 事件 的 防范 .检测 .汇报 和 应 急 处 
置 。 管 理 流程 包括 收集 ,评价 安全 事件 的 信息 ,提出 防止 事件 再 次 发 生 或 减 小 再 次 发 生 造 成 
损失 的 建议 。 

4) 人 员 管 理 

关于 人 员 的 安全 措施 是 要 减少 由 于 人 员 操 作 失误 和 违反 安全 规定 (故意 或 无 意 ) 所 造成 
的 安全 风险 。 这 方面 的 安全 措施 如 下 : 

(1) 针对 系统 内 员工 的 安全 措施 

务必 使 与 信息 系统 有 关 的 所 有 员工 知道 他 们 在 信息 系统 安全 上 的 作用 和 责任 ,制定 员 
工 应 该 遵守 的 与 安全 有 关 的 操作 规程 和 行为 规范 。 在 雇用 前 对 员工 进行 可 信 性 审查 ,如 果 
有 必要 还 要 签订 保密 协议 。 

(2) 针对 临时 工 的 安全 措施 

对 临时 工 ( 如 保安 清洁 工 等 ) 及 所 有 参观 考察 者 进行 控制 。 在 临时 工 获 得 接触 (物理 或 
逻辑 的 ) 信 息 系统 设施 的 权限 之 前 应 该 让 其 签订 保密 协议 。 

(3) 安全 意识 和 培训 

所 有 管理 、 使 用 .开发 .维护 及 对 信息 系统 设施 有 访问 权 的 人 员 都 应 阅读 定期 发 布 的 安 
全 简报 和 材料 ,应 该 教育 并 使 工作 人 员 知 道 他 们 掌握 的 信息 对 组 织 安全 的 重要 性 ,以 及 这 些 
重要 信息 存在 的 脆弱 性 潜在 威胁 和 风险 ,以 使 他 们 理解 安全 措施 的 必要 性 。 另 外 ,还 应 对 
使 用 信息 系统 完成 本 职工 作 的 人 员 进 行 安全 培训 ,包括 岗 前 培训 和 在 岗 培训 ,以 让 他 们 正确 
地 使 用 信息 设备 ,避免 错误 操作 和 违规 操作 。 对 于 信息 安全 官员 、 信 息 安 全 管理 员 等 关键 人 
员 , 则 必须 进行 更 深入 .更 专业 的 安全 知识 和 安全 意识 的 培训 。 
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(4) 严明 纪律 

要 使 信息 系统 所 在 组 织 的 所 有 员工 知道 ,( 有 意 和 无 意 ) 违 反 组 织 范 围 内 的 或 具体 的 信 
息 安 全 操作 策略 和 行为 规范 以 及 其 他 必须 遵守 的 与 安全 有 关 的 合同 条 款 、 安 全 协议 ,必须 承 
担 相应 的 后 果 。 

5) 与 安全 有 关 的 操作 事项 

操作 方面 的 安全 措施 是 指 维持 信息 设备 及 相关 系统 (组 件 ) 安 全 稳定 和 可 靠 运行 的 一 
系列 程序 性 的 操作 规定 。 通 过 执行 这 些 规定 就 可 以 保证 信息 系统 的 安全 措施 发 挥 安全 保护 
效能 。 操 作 上 的 安全 管理 措施 与 其 他 管理 性 和 技术 性 的 安全 措施 配合 使 用 ,可 以 最 大 限度 
地 使 安全 保护 措施 发 挥 作用 。 这 方面 的 安全 措施 如 下 : 

(1) 配置 和 变更 管理 

配置 管理 的 目的 是 操作 和 控制 信息 系统 的 安全 运行 以 及 系统 资源 的 安全 特性 ,变动 管 
理 的 目的 是 识别 信息 系统 发 生 的 变更 ,并 帮助 在 信息 系统 发 生变 更 后 选择 新 的 安全 措施 。 

配置 和 变更 管理 的 基本 安全 目标 就 是 保证 信息 系统 处 于 正常 的 安全 运行 状态 ,并 使 发 
生 的 变更 不 至 于 降低 安全 措施 的 可 用 性 和 安全 措施 所 保证 的 整体 安全 性 。 

(2) 维护 

为 了 保证 信息 系统 持续 的 可 靠 性 、 可 用 性 和 整体 性 ,必须 对 其 中 的 软 /硬件 设备 进行 日 
常 性 维护 ,要 在 维护 规范 中 写 明 维护 人 员 必 须 遵 循 的 安全 要 求 。 维 护 工作 外 包 的 ,应 在 与 服 
务 商 的 合同 中 写 明 维 护 中 必须 遵循 的 安全 要 求 ,承担 维护 业务 的 服务 商 必须 具有 相应 的 组 
织 和 专业 队伍 。 

(3) 监控 与 安全 有 关 的 变更 

对 信息 系统 发 生变 更 的 部 分 及 其 关联 的 信息 资源 的 脆弱 性 面临 的 威胁 和 影响 进行 跟 
踪 监 控 , 根 据 监 控 结 果 进 行 风险 评估 。 这 些 变更 包括 信息 系统 自身 的 变更 .需要 遵从 的 法 律 
发 生变 化 和 信息 系统 所 处 物理 环境 发 生 的 变更 。 

(4) 审计 跟踪 和 日 志 

从 规程 上 要 求 信息 安全 管理 员 和 系统 的 操作 员 使 用 专用 审计 工具 ,并 充分 利用 软 /硬件 
设备 (包括 处 理 信息 的 设备 和 保护 安全 的 设备 ) 中 已 有 的 日 志 记录 和 审计 功能 (例如 服务 器 
的 操作 日 志 记录 和 分 析 工 具 , 网 络 设备 (路 由 器 ) 中 的 日 志 信 息 和 统计 信息 ,防火 墙 中 的 日 志 
记录 和 审计 信息 ,应 用 程序 中 的 交易 处 理 日 志 信息 等 ) 对 信息 系统 的 安全 状态 进行 跟踪 。 有 
条 件 的 信息 系统 应 该 将 系统 内 各 种 设备 的 日 志 信息 和 审计 信息 整合 起 来 ,从 中 挖掘 出 安全 
事件 的 特征 模型 ,为 “事前 预警 、 事 中 控制 和 事后 审计 、 追 究 ” 的 安全 事件 管理 模式 提供 可 靠 
的 准确 信息 。 

对 操作 日 志 的 分 析 审 计 应 定期 进行 ,以 发 现 各 种 形式 的 未 经 授权 的 操作 和 违规 操作 行 
为 。 对 日 志 的 分 析 和 审计 还 可 为 验证 系统 所 配置 的 安全 措施 的 有 效 性 ,证 实 安全 措施 的 充 
分 性 提供 额外 的 支持 ; 对 日 志 中 的 重复 性 事件 进行 分 析 , 将 有 助 于 准确 地 识别 系统 的 脆弱 
性 和 面临 的 威胁 。 这 样 的 分 析 还 可 以 从 表面 上 不 相关 的 事件 中 挖掘 出 某 种 模式 ,以 更 深刻 
地 理解 和 认识 信息 系统 安全 要 素 之 间 的 内 在 逻辑 。 

(5) 安全 测试 

所 有 的 安全 设备 和 所 有 的 相关 软件 (包括 操作 系统 .平台 型 软件 和 应 用 程序 ) 必 须 通过 
国家 授权 的 测评 机 构 进 行 的 安全 保证 水 平 测试 。 安 全 保证 水 平 测试 应 符合 在 信息 系统 安全 
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策略 中 规定 的 测试 标准 ,以 判断 是 否 达 到 了 要 求 的 安全 保护 等 级 。 

(6) 介质 控制 

介质 控制 包含 对 磁带 、 磁 盘 、`USB 等 移动 存储 设备 .光碟 (光盘 )、 输 出 装置 及 其 他 介质 
的 保护 和 控制 ,保护 措施 有 物理 性 保护 和 环境 保护 措施 ; 控制 措施 则 是 对 这 些 存 储 介质 在 
保存 、 使 用 和 销毁 的 生命 周期 的 管理 规定 ,包括 做 标记 、 使 用 的 日 志 记录 、 完 整 性 验证 、 物 理 
使 用 权 和 保管 、 使 用 责任 的 规定 。 

(7) 信息 的 彻底 删除 

制定 对 存储 的 机 密 信 息 进行 物理 性 删除 的 规范 ,对 于 尚 存 有 或 存 入 过 机 密 信 息 决定 不 
再 使 用 的 存储 设备 制定 物理 性 销毁 的 规范 。 保 证 含有 机 密 信 息 的 文件 已 被 抹 掉 并 进行 了 物 
理性 覆盖 ,或 者 已 被 毁 掉 。 由 于 计算 机 的 删除 命令 并 不 能 保证 做 到 以 上 要 求 , 需 要 为 使 用 人 
员 提 供 能 使 他 们 彻底 删除 信息 的 方法 和 工具 。 

(8) 分 割 操作 特权 

为 了 把 滥用 特权 的 风险 降 至 最 低 , 需 要 对 一 些 操作 特权 (例如 初始 参数 配置 查看 审计 
信息 等 ) 进 行 分 割 。 那 些 可 能 绕 过 或 穿 透 安全 措施 和 规避 审计 的 操作 特权 以 及 可 能 使 员工 
获得 过 多 或 超出 本 职 所 需 的 操作 权限 ,必须 进行 分 割 。 

(9) 控制 有 版 权 软件 的 使 用 

保证 不 使 用 复制 的 有 版 权 控制 的 软件 ,并 严格 遵守 专 有 软件 的 许可 协议 。 

(10) 控制 软件 变更 

对 软件 进行 变更 时 必须 遵从 论证 和 报批 规定 ,保证 变更 不 影响 正常 业务 的 连续 性 和 完 
整 性 ,不 因 软件 的 变更 而 引入 新 的 风险 。 需 要 特别 提醒 的 是 ,软件 变更 控制 仅 针对 软件 系 
统 , 而 配置 和 变更 管理 针对 信息 系统 及 其 运行 环境 。 

制定 能 对 软件 变更 进行 控制 并 使 信息 系统 维持 在 期 望 安全 等 级 上 的 完整 规范 ,其 中 包 
括 对 软件 变更 的 授权 制度 、 变 更 方案 的 安全 考虑 和 最 终 应 达到 的 安全 等 级 水 平 。 

6) 业务 连续 性 措施 

制定 业务 连续 性 (包括 意外 事件 的 应 急 措 施 和 失效 恢复 ) 的 方案 和 措施 ,确保 组 织 的 业 
务 ,特别 是 关键 业务 流程 , 免 于 遭受 重大 故障 或 能 力 丧 失 所 带 来 的 影响 ,或 把 损害 降 至 最 低 。 
这 些 措 施 如 下 : 

(1) 意外 事件 处 理 策略 

在 识别 出 因 信息 系统 资源 脆弱 性 .系统 调整 和 破坏 行为 对 组 织 可 能 造成 潜在 的 负面 影 
响 的 基础 上 制定 意外 事件 处 理 ( 包 括 意 外 事件 的 应 对 措施 和 失效 恢复 ) 策 略 ( 规 则 和 指令 )， 
并 形成 正式 文档 。 

(2) 业务 连续 性 计划 

在 业务 连续 性 策略 (流程 或 规范 ) 的 基础 上 制订 业务 连续 性 计划 (包括 处 理 意外 事件 和 
失效 恢复 的 方案 和 措施 ) ,并 形成 正式 文档 。 

(3) 测试 和 更 新 

在 业务 连续 性 计划 获得 批准 前 应 彻底 地 测试 连续 性 计划 在 维持 信息 系统 生命 周期 中 
不 间断 服务 能 力 的 充分 性 ,制定 一 个 使 所 有 相关 人 员 都 理解 这 些 计 划 的 分 发 和 培训 规 
程 。 业 务 连 续 性 计划 必须 根据 系统 和 环境 的 变化 进行 更 新 ,业务 连续 性 策略 也 应 同步 进 
行 更 新 。 
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(4) 备份 

对 信息 系统 中 所 有 数据 (控制 数据 .管理 数据 和 应 用 业务 数据 ,管理 文档 ,操作 系统 和 应 
用 程序 等 系统 数据 ) 和 (必要 时 ) 最 小 集 的 软 /硬件 系统 都 必须 按 规程 进行 备份 。 数 据 备份 频 
度 依照 信息 的 重要 性 和 业务 连续 性 计划 的 规定 而 定 , 使 其 与 信息 的 重要 性 和 业务 连续 性 计 
划 相 适应 。 一 般 信息 系统 的 数据 备份 必须 至 少 在 信息 系统 运行 环境 内 保存 一 份 ,并 在 信息 
系统 所 在 建筑 物 以 外 的 地 方 (同城 或 异地 ) 保 存 一 份 ; 对 于 重要 的 信息 系统 , 除 在 异地 备份 
一 个 最 小 集 的 软 /硬件 系统 外 ,还 应 将 数据 备份 保存 在 运行 环境 内 和 信息 系统 所 在 建筑 物 外 
的 同城 建筑 物 内 以 及 远程 异地 各 一 份 。 按 规程 定期 更 新 和 维护 备份 ,定期 维护 已 备份 的 最 
小 集 软 / 硬 件 系统 ,确保 备份 的 可 靠 性 。 

7) 物理 安全 

物理 安全 措施 是 对 信息 系统 软 /硬件 设备 . 子 系统 或 组 件 及 运行 环境 进行 物理 保护 的 活 
动 的 总 称 , 物 理 保护 形式 可 以 是 规程 性 的 ,也 可 以 是 技术 性 的 。 下 列 措施 可 用 于 对 建筑 物 、 
安全 区 域 .计算 机 房 和 办 公 场 地 等 进行 保护 。 这 方面 的 安全 措施 如 下 : 

(1) 环境 保护 

环境 保护 包括 对 建筑 物 的 所 有 物理 保护 措施 (栅栏 .门禁 或 保安 .坚固 的 围墙 门窗 控 
制 、 视 频 监 控 等 )。 通 过 栅栏 .围墙 和 门窗 控制 将 信息 系统 进行 内 外 物理 隔离 ; 通过 对 物理 
访问 身份 和 权限 的 控制 (门禁 或 保安 ) 防 止 未 经 许可 的 人 员 进 入 安全 控制 区 ; 通过 视频 对 信 
息 系统 周边 和 内 部 重要 的 安全 区 域 的 异动 情况 实现 全 天 候 的 无 人 值守 监控 。 

(2) 防火 

应 对 设备 及 其 周围 环境 采取 措施 ,以 发 现 火灾 苗头 和 防止 火势 从 建筑 物 内 或 从 邻近 的 
其 他 建筑 物 草 延 过 来 。 在 存放 信息 系统 设备 的 房间 和 地 区 的 附近 必须 有 火警 标志 ,在 这 些 
设备 附近 和 房间 内 外 安装 水 栓 、 烟 火 检测 装置 和 灭火 器 具 ,并 定期 检查 和 更 新 ; 在 关键 设备 
存放 地 (或 区 域 ) 与 外 部 区 域 之 间 设立 火灾 隔离 措施 ,充分 利用 视频 监控 设施 对 火灾 的 发 生 
或 更 延 进行 预警 。 

(3) 防 液体 /防腐 蚀 

关键 设备 附近 不 能 存放 可 能 发 生 泄漏 的 液体 和 具有 腐蚀 性 的 液体 .固态 材料 等 。 

(4) 防 自 然 灾害 

信息 系统 的 重要 和 关键 设备 必须 安放 在 具有 防洪 水 、 防 雷电 的 房间 或 建筑 物 内 ; 设备 
自身 应 采取 严格 的 接地 保护 措施 ; 信息 系统 所 在 建筑 物 要 有 适度 的 坚固 强度 和 抗震 能 力 ， 
并 远离 洪水 泛滥 地 ,泥石流 经 过 区 ; 充分 利用 视频 监控 设施 对 自然 灾害 的 侵害 进行 预警 和 
报警 。 

(5) 防盗 

为 所 有 的 信息 系统 设备 (包括 便携 式 软 / 硬 盘 、USB 存储 介质 等 ) 贴 上 具有 唯一 性 的 身 
份 标记 ,有 条 件 并 且 必 要 时 可 采用 具有 GPS 功能 和 RFID 识别 方法 的 身份 标识 ; 对 存储 介 
质 上 的 敏感 信息 和 专 有 软件 嵌入 控制 信息 ,阻止 未 授权 使 用 直至 自动 销毁 ; 将 所 有 的 设备 
编制 成 详细 的 资产 目录 。 

门卫 人 员 应 对 进出 系统 的 人 员 ,设备 ,材料 和 器 具 进 行 识别 ,对 未 经 授权 出 入 的 人 员 或 
带 离 房间 、 区 域 或 建筑 物 的 设备 材料 和 器 具 等 予以 阻止 ,并 登记 和 追查 。 对 存 于 便携 式 介质 
(如 软盘 、 移 动 存储 设备 ) 上 的 敏感 信息 和 专 有 软件 应 进行 适当 保护 ,以 防止 丢失 或 被 盗 。 
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(6) 电源 和 空调 保障 

使 用 不 间断 电源 系统 (UPS) 在 断 电 时 作为 应 急 供 电 设施 ,确保 信息 设备 安全 和 对 系统 
内 不 允许 意外 终止 的 进程 实现 紧急 的 系统 关闭 ,并 完成 对 业务 数据 的 存储 及 备份 。UPS 维 
持 电力 的 时 间 长 度 根据 信息 系统 的 重要 程度 决定 ; 在 必要 的 地 方 可 用 UPS 作为 信息 系统 
或 其 中 某 些 子 系统 或 组 件 的 后 备 电源 。 

使 用 具有 温 / 湿 度 控 制 和 空气 净化 功能 的 空调 系统 ,对 信息 系统 的 软 /硬件 设备 运行 ( 含 
存储 ) 场 所 进行 保护 ,前 者 保护 设备 不 因 环境 温度 变化 而 降低 或 丧失 性 能 ,后 者 保护 设备 免 
于 粉尘 的 危害 。 

(7) 电缆 保护 

采取 措施 防止 电源 线 和 通信 数据 传输 线 被 物理 (人 为 地 或 自然 的 ) 截 断 、 损 伤 和 破坏 。 
所 采取 的 保护 措施 包括 技术 性 的 物理 措施 ,例如 采用 坚固 耐 损 的 材料 , 紧 固 地 安装 并 加 保护 
外 套 等 ; 管理 性 的 措施 ,例如 在 线 缆 经 过 的 地 方 进行 明显 标示 ,加 强 法 制 宣传 ,经 常 性 巡视 
等 ; 法 律 性 的 措施 ,例如 对 无 意 的 轻微 的 人 为 损坏 依法 追偿 ,对 有 意 的 人 为 破坏 或 无 意 的 但 
重大 的 人 为 破坏 追究 刑事 责任 。 在 通信 电缆 经 过 的 公共 场所 的 地 方 要 防止 电缆 被 拱 接 。 

2. 技术 性 安全 措施 

1) 识别 和 鉴别 

识别 是 将 某 一 实体 从 一 群 实体 中 区 别 出 来 的 过 程 。 鉴 别 是 对 实体 所 声称 身份 的 真实 性 
进行 确定 。 一 般 来 说 ,识别 和 鉴别 这 两 个 过 程 是 连续 进行 的 ,其 中 识别 与 身份 标识 有 关 , 鉴 
别 则 需要 实体 的 附加 信息 。 在 计算 机 信息 系统 中 对 用 户 的 识别 和 鉴别 只 有 通过 技术 的 方法 
才能 进行 。 以 下 是 完成 识别 与 鉴别 的 一 些 措施 。 

(1) 通过 使 用 实体 知道 的 信息 进行 识别 与 鉴别 

口令 ( 即 PASSWORD, 通 行 字 ) 是 用 于 鉴别 的 最 典型 的 形式 ,是 验证 用 户 身 份 真实 性 的 
依据 。 在 网 络 环境 中 使 用 的 口令 一 般 由 系统 管理 员 分 配 , 或 系统 授权 用 户 自己 编制 后 存 人 
系统 。 当 计算 机 不 与 网 络 连接 时 ,进入 计算 机 的 口令 完全 由 用 户 自己 确定 。 在 网 络 信 息 系 
统 中 ,与 口令 有 关 的 操作 应 受到 规程 的 严格 约束 。 

口令 应 不 少 于 6 个 字符 ,一 般 由 数字 和 字母 混 编 ,最 好 包含 数字 、 大 小 写字 母 和 特殊 字 
符 , 并 定期 更 新 。 

用 户 自己 的 口令 不 得 泄露 给 其 他 人 ,口令 副本 应 像 保存 密 钥 一 样 保存 ; 存放 在 信息 系 
统 中 的 口令 表 必 须 经 过 加 密 处 理 , 且 只 有 系统 管理 员 或 获得 特别 授权 的 人 才能 读 取 。 当 使 
用 人 员 忘 记 口令 时 或 遗失 口令 副本 时 ,必须 履行 报批 手续 ,才能 由 系统 管理 员 重新 分 配 。 

口令 鉴别 是 常用 的 身份 鉴别 方式 ,也 可 以 使 用 密码 方法 和 鉴别 协议 对 用 户 身份 进行 远 
程 识别 与 鉴别 ,以 增强 安全 性 。 

(2) 通过 用 户 持 有 物 进行 识别 与 鉴别 

其 典型 例子 是 用 户 利用 具有 存储 功能 的 各 种 智能 卡 或 令 牌 进行 识别 和 鉴别 。 具 有 存储 
功能 的 智能 卡 最 常见 的 应 用 就 是 信用 卡 背 面 的 磁 条 或 IC 卡 信息 。 用 户 持 有 的 卡 或 令 牌 是 
身份 的 标识 ,用 户 的 口令 则 是 确认 用 户 真 实 性 的 依据 。 用 户 所 持 有 的 卡 或 令 牌 一 旦 丢失 , 需 
要 立即 报告 ,并 予以 注销 。 

(3) 通过 用 户 自身 的 特征 信息 进行 识别 与 鉴别 

用 户 的 生物 特征 (如 指纹 .手掌 形状 .视网膜 .脸形 和 声音 等 ) 信 息 具 有 相当 高 的 唯一 性 ， 
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可 以 用 来 识别 和 鉴别 用 户 的 身份 。 相 关 的 生物 特征 信息 必须 安全 地 存储 在 智能 卡 或 系统 
中 。 其 中 ,生物 特征 是 用 户 的 标识 ,而 生物 特征 信息 是 确认 用 户 身份 真实 性 的 依据 。 

2) 访问 控制 和 日 志 

访问 控制 通过 在 系统 中 的 通信 连接 或 数据 流程 中 设置 某 些 判 断 或 约束 条 件 对 用 户 访问 
系统 资源 进行 限制 或 控制 。 其 作用 是 限制 或 控制 系统 内 外 用 户 对 信息 体 、 计 算 机 、 网 络 、 应 
用 程序 .文件 和 程序 的 访问 。 访 问 控制 一 般 利 用 嵌入 在 某 个 子 系统 或 组 件 的 一 段 计算 机 程 
序 或 模块 程序 即 可 实现 ,也 可 以 使 用 硬件 或 附加 设备 来 实现 。 

一 般 地 ,访问 控制 前 必须 对 用 户 的 身份 利用 识别 和 鉴别 措施 予以 确认 。 

访问 控制 列表 是 信息 系统 中 常见 的 用 于 说 明 访 问 控制 约束 条 件 或 前 置 条 件 的 一 个 序 
列 。 与 访问 控制 有 关 的 安全 措施 如 下 : 

(1) 访问 控制 策略 

每 个 系统 或 子 系统 都 要 制定 访问 系统 内 资源 的 控制 策略 ,访问 控制 策略 以 一 组 有 序 的 
规则 组 成 ,清楚 地 说 明 哪 些 用 户 具备 哪些 条 件 才 能 访问 哪些 资源 ,其 中 的 条 件 包 括 对 用 户 的 
身份 和 操作 权限 的 规定 。 此 外 ,访问 控制 策略 还 需 说 明 访问 控制 属于 缺 省 (默认 ) 禁 止 (除了 
允许 的 一 律 禁 止 ) 模 式 , 类 似 于 红 名 单 控制 方式 ; 还 是 属于 缺 省 (默认 ) 允 许 ( 除 了 禁止 的 一 
律 允许 ) 模 式 ,类 似 于 黑 名 单 控制 方式 。 

对 访问 控制 模式 的 选取 应 该 考虑 组 织 获得 安全 的 方式 (开放 式 或 限制 式 ) 和 文化 特点 ， 
以 在 满足 业务 安全 的 同时 让 用 户 易于 接受 。 

(2) 用 户 对 计算 机 的 访问 

对 计算 机 的 访问 控制 的 主要 目的 在 于 防止 未 经 授权 使 用 计算 机 资源 。 对 每 个 已 获 授权 
的 用 户 的 身份 进行 确认 和 核实 是 必要 的 。 

(3) 用 户 对 数据 、 公 共 信 息 服务 和 应 用 软件 的 访问 

控制 计算 机 或 网 络 中 的 数据 ,公共 信息 服务 和 应 用 软件 的 使 用 。 控 制 这 些 访 问 的 方法 
一 是 在 计算 机 和 提供 公共 信息 服务 的 设备 (例如 服务 器 和 服务 器 群 ) 的 入 口 处 安装 防火 墙 一 
类 的 隔离 控制 系统 ,二 是 在 各 类 应 用 程序 (例如 业务 软件 、 信 息 服 务 软件 ) 中 嵌入 访问 控制 模 
块 。 访 问 控制 可 以 是 基于 角色 、 基 于 任务 的 ,也 可 以 是 面向 资源 和 面向 用 户 的 ,等 等 。 

(4) 对 访问 控制 措施 进行 检查 和 更 新 

对 访问 控制 措施 要 进行 定期 检查 。 如 果 现 有 的 访问 控制 机 制 已 不 能 满足 安全 或 业务 需 
要 ,就 要 进行 扩充 或 更 新 控制 功能 。 对 具有 优先 访问 权 用 户 的 访问 情况 应 进行 更 频繁 的 检 
查 , 以 防止 访问 权力 被 滥用 。 如 果 对 某 些 信息 系统 资源 的 访问 已 不 再 有 必要 ,应 及 时 收回 访 
问 权 。 

(5) 日 志 记录 

对 信息 系统 进行 的 所 有 访问 活动 都 应 该 记录 到 日 志 中 ,并 对 日 志 进行 定期 的 检查 和 分 
析 , 这 包括 对 系统 成 功 和 不 成 功 的 登录 、 对 访问 的 数据 的 记录 、 对 访问 的 系统 资源 的 记录 等 。 
另外 ,错误 的 操作 也 应 该 被 记录 下 来 ,并 进行 定期 检查 。 对 访问 行为 的 记录 数据 应 遵从 有 关 
数据 保护 和 隐私 保护 的 法 律 ,例如 这 些 与 访问 有 关 的 数据 仅 能 在 有 限 的 时 期 内 保存 ,并 且 仅 
能 用 来 查找 安全 违规 问题 ,不 可 外 泄 ,或 被 审计 人 员 以 外 的 人 员 查 看 (除非 获得 特别 授权 ) 。 

3) 防护 病毒 与 恶意 代码 

病毒 和 恶意 代码 可 以 通过 外 部 接口 (例如 与 软 /硬盘 、 移 动 存储 设备 .网 络 连接 等 的 接 
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口 ) 和 木马 程序 引入 系统 。 病 毒 和 恶意 程序 对 任何 信息 系统 造成 的 现实 的 和 潜在 的 风险 都 
很 难 识别 并 控制 ,如果 不 采取 有 效 的 安全 措施 ,一 般 只 有 在 恶意 代码 发 作 并 造成 损害 后 才能 
发 现 它 。 与 恶意 代码 有 关 的 程序 形式 如 下 : 

。 特洛伊 木马 (Trojan Horse) 程 序 (一 种 内 含 病毒 和 恶意 代码 、 行 为 隐蔽 的 程序 ); 

。 病毒 (一 种 具有 自我 复制 .传播 能 力 的 有 害 程序 ); 

。 恶意 程序 (一 种 对 信息 系统 及 其 资源 具有 特定 破坏 能 力 的 小 型 程序 ,常常 隐藏 在 木 

马 程 序 中 或 寄生 在 可 执行 程序 中 )。 

其 中 ,木马 程序 是 运载 和 隐藏 病毒 和 恶意 代码 的 工具 之 一 ,对 信息 系统 造成 危害 的 是 病 
毒 和 恶意 代码 程序 。 

传播 病毒 和 恶意 代码 的 途径 如 下 : 

。 软盘 复制 ; 

。 访问 便携 式 存储 介质 ; 

。 电 子 邮 件 传播 ; 

。 网 络 传播 ; 

。 文 件 或 网 页 内 容 下 载 ; 等 等 。 

预防 ,阻止 病毒 和 恶意 代码 的 安全 措施 如 下 : 

(1) 扫描 

使 用 病毒 .恶意 代码 和 木马 扫描 软件 ,对 系统 内 已 有 的 和 新 运行 的 程序 .存储 区 域 进行 
定期 扫描 ,检测 出 已 知 特征 或 疑似 特征 的 病毒 恶意 代码 和 木马 ,并 予以 清除 或 杀 灭 ; 对 以 
任何 形式 来 自 系统 外 部 (软盘 复制 .USB 接 人 、 网 页 下 载 .邮件 传递 等 ) 的 数据 、 文 档 、 程 序 、 
表格 等 进行 扫描 ,检测 出 携带 有 已 知 特征 和 疑似 特征 病毒 .恶意 代码 和 木马 程序 的 任何 数据 
和 程序 ,未 经 扫描 不 得 进入 系统 。 

(2) 检测 

对 病毒 .恶意 代码 和 木马 的 检测 除 利用 扫描 工具 外 ,还 有 两 种 方法 可 以 尝试 。 一 是 在 系 
统 内 采用 完整 性 检测 方法 ,检测 出 系统 数据 的 变化 ,从 而 进一步 分 析 和 判断 引起 变化 的 原 
因 ,为 确定 病毒 和 木马 程序 提供 线索 ; 第 二 种 方法 是 利用 专门 工具 对 病毒 .恶意 代码 和 木马 
进行 深度 检测 ,这 些 检 测 工具 可 能 是 专门 针对 木马 的 ,可 能 只 是 针对 病毒 的 ,也 可 能 只 是 针 
对 恶意 代码 的 。 它 们 的 共同 特点 是 不 如 扫描 工具 的 检测 范围 大 ,但 却 具 有 更 深入 的 、 细 粒 
度 的 检测 能 力 , 有 的 还 有 不 同 程度 的 数据 挖掘 和 逻辑 推理 能 力 。 这 些 检测 工具 除 对 检测 
出 的 异常 数据 和 关联 的 纵向 (与 时 间 相 关 )、 横 向 (与 资源 分 布 有 关 ) 数 据 具 有 较 强 的 数据 
挖掘 能 力 外 ,还 具有 更 完整 .更 专业 的 特征 数据 库 , 有 利于 得 出 更 精细 ,准确 的 检测 结论 

4) 网 络 安 全 管理 

网 络 安全 管理 的 内 容 包 括 对 网 络 的 规划 、 配 置 、 隔 离 、 监 控 \、 检 测 等 。 对 网 络 进 行 正确 的 
隔离 .配置 和 监控 是 减少 风险 的 有 效 手段 。 具 体 安全 措施 如 下 : 

(1) 网 络 规划 

为 了 保证 组 织 业务 系统 可 靠 运行 和 具有 足够 的 网 络 容 量 , 必 须根 据 组 织 的 业务 现实 对 
网 络 系统 的 结构 及 其 安全 、 带 宽 , 存 储 容量 、 交 换 设 备 性 能 做 出 具有 一 定 元 余 并 可 扩容 的 
规划 。 
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(2) 网 络 配 置 

网 络 配置 包括 网 络 结构 参数 配置 .边界 设置 .带宽 分 配 、 存 储 容量 管理 和 交换 设备 选 
配 等 。 

网 络 结构 指 组 织 的 局 域 网 或 内 联网 内 部 的 连接 ,与 外 部 网 络 的 连接 ,以 及 组 织 员 工 远 程 
接 入 的 安排 与 布局 ,其 中 内 部 结构 即 内 部 子 网 络 或 虚拟 局 域 网 (VLAN) 的 布局 ,内 部 子 网 和 
VLAN 可 在 原 有 的 物理 布线 和 交换 设备 的 基础 上 配置 ,其 边界 由 配置 参数 决定 ,可 在 内 部 
子 网 加 配 安全 网 关 和 加 密 设备 ; 外 部 结构 指 组 织 的 内 部 网 与 外 部 网 络 连接 的 线 缆 和 交换 设 
备 布局 ,其 边界 在 路 由 器 或 交换 机 的 外 侧 , 必 要 时 可 加 配 防 火 墙 . 接 入 的 鉴别 设备 或 传输 的 
加 密 设 备 等 。 

网 络 带宽 和 存储 容量 的 分 配 根据 组 织 业务 和 管理 需求 分 配 到 各 个 子 网 和 网 络 设备 。 

交换 设备 选 配 指 对 内 部 交换 设备 和 与 外 部 网 络 的 交换 设备 的 选 配 , 主要 考虑 其 交换 性 
能 ,包括 交换 接 人 /出 容量 .交换 速度 和 带宽 等 参数 。 

网 络 参数 的 合理 配置 对 网 络 的 运行 性 能 和 稳定 性 极为 重要 。 

(3) 网 络 隔离 

网 络 隔离 包括 网 络 中 的 内 部 子 网 络 之 间 的 隔离 和 与 外 部 网 络 连接 的 隔离 。 前 者 指 在 网 
络 上 将 处 理 不 同业 务 的 主机 和 网 络 资源 分 别 划分 为 若干 子 网 络 ,形成 相应 的 业务 管理 区 域 
(一 般 称 为 安全 域 ) ,然后 将 这 些 业务 区 域 在 逻辑 上 或 物理 上 保持 相互 隔离 ,以 方便 管理 和 提 
高 安全 性 ; 后 者 根据 组 织 的 网 络 与 外 界 网 络 连接 的 控制 需要 分 为 逻辑 隔离 (一 般 以 路 由 器 
或 防火 墙 .安全 网 关 为 边界 ) 和 物理 隔离 (一 般 以 网 疗 或 数据 摆渡 设备 为 边界 ) ,隔离 方式 依 
对 连接 进行 控制 的 需要 而 定 。 

(4) 网 络 监管 

利用 网 络 扫 描 工 具 ( 一 种 计算 机 网 络 系统 脆弱 性 或 缺陷 识别 的 软件 包 ) 定 期 对 网 络 配 置 
中 的 弱点 或 缺陷 进行 扫描 识别 ,为 网 络 安全 措施 的 选择 或 调整 提供 参考 。 根 据 所 识别 的 网 
络 系统 脆弱 性 或 缺陷 ,实时 地 对 系统 的 脆弱 性 或 漏洞 安装 加 固 或 补丁 程序 ,或 更 新 网 络 版 和 
主机 版 防 病毒 软件 。 网 络 扫描 工具 本 身 也 应 随时 更 新 。 

(5) 入 侵 检测 

入 侵 检 测 一 般 在 组 织 的 网 络 与 外 部 网 络 连接 的 边界 处 配置 ,也 有 在 大 型 网 络 中 子 网 络 
之 间 的 边界 处 或 在 公共 访问 资源 集中 的 区 域 边 界 处 配置 的 。 入 侵 检测 的 作用 是 辅助 网 络 管 
理 人 员 识 别 未 经 许可 的 非法 或 越权 访问 的 入 侵 行为 。 入 侵 检 测 设备 可 以 是 一 个 以 旁 路 方式 
并 接 在 网 络 边界 处 独立 运行 的 系统 ,也 可 以 嵌入 在 防火 墙 系统 中 作为 一 个 功能 模块 参与 到 
对 连接 进程 的 识别 中 。 入 侵 检测 的 理想 模式 是 将 检测 结果 与 防火 墙 等 隔离 控制 设备 实现 
联动 。 

迄今 为 止 , 在 入侵 检测 设备 的 实际 应 用 中 存在 一 个 共同 的 问题 ,就 是 几乎 所 有 的 人 侵 检 
测 结果 的 误 报 率 都 较 高 ,有 的 入侵 检测 设备 的 误 报 率 甚至 高 到 超过 了 管理 人 员 的 容忍 限度 
而 影响 对 其 的 使 用 。 

5) 加 密 技 术 

使 用 加 密 技术 保护 信息 系统 的 数据 存储 和 传输 过 程 的 安全 在 信息 系统 安全 中 是 一 种 较 
为 普遍 的 做 法 。 使 用 加 密 技术 可 对 信息 系统 的 数据 在 存储 和 传输 过 程 的 若干 安全 属性 实现 
保护 ,分 别 如 下 : 
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(1) 数据 机 密 性 

当 存 储 或 传输 的 信息 对 机 密 性 保护 要 求 较 高 时 ,可 在 物理 层 、 链 路 层 、 网 络 层 、 传 输 层 和 
应 用 层 ( 主 要 是 保护 各 类 数据 ) 中 选择 在 一 层 或 多 层 进 行 加 密 ,实现 对 数据 的 保护 。 数 据 机 
密 性 表现 为 对 数据 的 存在 性 ,不 可 获取 性 和 不 可 理解 性 的 维护 ,加 密 技 术 可 以 从 这 3 个 方面 
保护 其 数据 的 机 密 性 。 在 使 用 加 密 措 施 时 应 考虑 以 下 方面 : 

。 遵从 国家 对 密码 技术 和 设备 使 用 及 管理 的 法 律 和 法 规 ; 

。 密 钥 管理 本 身 的 安全 问题 ; 

。 保持 加 密 机 制 与 所 需要 的 保护 等 级 之 间 的 适应 性 ,不 可 育 目 追求 多 层 加 密 措 施 或 高 

强度 加 密 措施 。 

(2) 数据 完整 性 

当 存储 或 传输 的 信息 对 完整 性 要 求 较 高 时 ,可 使 用 散 列 算法 .数字 签名 技术 等 密码 技术 
措施 来 保护 存储 或 传输 信息 的 完整 性 。 完 整 性 安全 措施 (如 Message Authentication Code， 
MAC, 即 消息 鉴别 码 ? 可 防止 对 被 保护 信息 进行 有 意 或 无 意 的 改动 . 增 减 删除 和 重 放 等 攻 
击 。 数 字 签 名 技术 措施 不 仅 能 为 消息 提供 类 似 的 完整 性 保护 ,而 且 具 有 抗 抵赖 的 能 力 , 即 对 
信息 的 来 源 与 信息 的 发 送 方 的 不 可 和 否认。 在 使 用 数字 签名 技术 或 其 他 完整 性 安全 措施 时 应 
考虑 以 下 方面 : 

。 遵从 国家 法 律 和 法 规约 束 ; 

。 密 钥 管理 本 身 的 安全 。 

(3) 抗 抵赖 

抗 抵赖 措施 指 对 信息 的 发 送 、 传 输 、 提 交 、 交 付 和 接收 等 行为 ,时 间 以 及 信息 内 容 进行 确 
认 的 特性 ,以 防止 信息 的 发 送 者 和 接收 者 对 已 操作 过 的 行为 以 及 对 信息 修改 的 结果 进行 否 
认 。 抗 抵赖 的 安全 特性 可 通过 数字 签名 技术 实现 。 

(4) 数据 真实 性 

当 对 数据 真实 性 的 要 求 非常 高 时 ,应 使 用 数字 签名 来 验证 数据 的 真实 性 ,以 及 数据 是 不 
是 特定 人 员 发 来 的 。 

(5) 密 钥 管理 

密 钥 管理 包括 对 密 钥 和 加 密 过 程 信息 有 关 的 管理 活动 和 技术 机 制 的 组 织 与 规程 等 方面 
的 内 容 。 密 钥 管 理 的 目标 是 实现 对 密 钥 及 相关 信息 的 安全 管理 。 密 钥 管理 活动 包括 密 钥 材 
料 的 产生 , 密 钥 的 生成 存储 、 分 发 .安装 .注册 注销、 存档 ,更换 和 销毁 。 合 理 的 密 钥 管理 体 
系 除 需 实现 与 密 钥 有 关 的 管理 活动 外 ,还 必须 具有 对 密 钥 管理 系统 及 其 数据 的 机 密 性 、 完 整 
性 和 可 用 性 保护 的 能 力 。 

5.4.3.3 选择 基线 安全 措施 


下 面 的 方法 可 用 于 选择 适合 于 保护 信息 系统 安全 的 安全 技术 措施 。 

首先 是 将 组 织 可 选用 的 组 合 的 安全 措施 集 适 当地 应 用 于 所 考虑 的 信息 系统 。 由 于 它们 
具有 对 某 一 类 信息 系统 安全 保护 的 普遍 适用 性 ,这 类 安全 措施 集 总 是 作为 优先 考虑 的 对 象 。 
进一步 说 ,由 于 它们 是 通过 组 织 的 安全 性 分 析 和 规程 引入 的 ,所 以 很 多 安全 措施 的 执行 成 本 
并 不 高 。 有 关 这 些 安 全 措施 选择 的 细节 将 在 “可 普遍 应 用 的 安全 措施 ”中 进行 讨论 。 

然后 是 进一步 考虑 信息 系统 的 具体 类 型 和 特点 。 有 关 这 些 安全 措施 选择 的 细节 将 在 
“具体 的 安全 措施 ”中 进行 讨论 。 
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当然 ,对 于 一 个 信息 系统 来 说 ,可 能 某 个 或 多 个 组 合 的 安全 措施 集 或 某 些 具体 的 安全 措 
施 都 没有 必要 采用 ,例如 对 信息 的 接收 者 或 发 送 者 来 说 并 不 需要 保密 ,或 完整 性 保护 要 求 也 
不 高 , 那 就 没有 必要 使 用 密码 技术 ; 还 有 一 些 类 别 的 安全 措施 只 有 在 获得 进一步 的 风险 评 
估 后 才能 确定 其 是 否 为 最 恰当 的 选择 。 

如 果 要 对 安全 措施 的 适用 性 做 更 加 准确 的 判断 ,必须 根据 风险 评估 的 输出 数据 做 更 详 
细 的 分 析 。 

如 果 安 全 措施 是 根据 不 同 的 准则 选择 的 , 则 应 该 对 最 后 准备 实现 的 一 套 安 全 措施 进行 
仔细 的 搭配 ,并 核实 按 不 同 准 则 做 出 的 选择 之 间 是 否 存 在 冲突 或 功能 抵消 的 情况 。 

在 “基线 "安全 模式 确定 之 前 ,可 考察 其 他 已 做 过 基线 保护 的 同类 信息 系统 的 安全 状况 
以 作为 借鉴 和 参考 ,并 识别 与 其 他 信息 系统 之 间 的 细微 差异 及 这 些 差异 可 能 产生 的 风险 , 评 
估 风 险 的 可 控 性 。 

在 选择 安全 措施 时 , 另 一 种 无 须 进行 详细 分 析 的 情况 是 使 用 针对 具体 应 用 领域 的 专用 
的 “基线 ”模式 ,例如 现 有 的 电信 和 领域 .医疗 保健 领域 .银行 业 领域 和 其 他 专业 性 很 强 的 领域 
的 “基线 ”安全 模式 手册 就 可 以 直接 引入 相应 的 信息 系统 领域 指导 对 安全 措施 的 选择 。 在 使 
用 这 些 手册 时 ,可 以 把 现 有 或 计划 中 的 安全 措施 与 手册 上 推荐 的 安全 措施 进行 对 照 。 在 最 
终 决定 要 执行 哪些 安全 措施 之 前 ,要 仔细 考虑 安全 需求 和 安全 保护 重点 。 

1. 可 普遍 应 用 的 安全 措施 

可 普遍 应 用 的 安全 措施 如 下 : 

。 信息 安全 管理 策略 ; 

。 遵从 性 检查 ; 

。 事件 处 理 规程 ; 

。 人 员 安 全 管理 规程 

。 操作 规程 ; 

。 业务 连续 性 计划 ; 

。 物 理 安全 措施 。 

这 些 类 别 的 信息 安全 措施 是 成 功 实现 信息 系统 保护 体系 的 基础 ,是 信息 安全 保障 的 最 
低 要 求 , 其 重要 性 在 任何 时 候 都 不 能 低估 。 这 些 安全 措施 与 下 面 要 介绍 的 技术 性 更 强 的 具 
体 安全 措施 之 间 的 协调 也 非常 重要 。 

当然 ,可 能 还 有 许多 其 他 的 安全 措施 在 很 多 信息 系统 中 也 是 应 该 使 用 的 ,但 在 具体 选择 
时 却 要 依 具体 情况 而 定 , 例 如 为 网 络 提供 访问 控制 的 安全 措施 就 不 同 于 为 单机 提供 访问 控 
制 的 安全 措施 ,不 仅 在 控制 力度 上 不 同 , 而 且 控 制 的 方式 也 可 能 不 同 。 当 从 可 普遍 应 用 的 安 
全 措施 中 选择 某 些 安全 措施 时 ,应 该 考虑 组 织 的 规模 及 其 安全 需求 ,例如 对 于 安全 策略 类 中 
的 安全 措施 ,一 个 小 规模 组 织 的 小 型 信息 系统 就 没有 必要 也 没有 相应 的 人 力 资源 来 建立 信 
息 安全 委员 会 ,可 以 让 相应 职能 的 岗位 人 员 兼 任 相 应 职位 。 因 此 ,在 选用 时 ,应 对 安全 措施 
所 具备 的 基本 功能 和 效力 与 信息 系统 的 实际 需求 进行 综合 比较 。 

2. 具体 的 安全 措施 

信息 系统 的 安全 保护 体系 除 选择 可 普遍 应 用 的 安全 措施 外 ,还 要 根据 信息 系统 的 类 型 
和 实际 情况 选择 其 他 一 些 具 体 的 安全 措施 ,这 样 才 能 满足 组 织 对 信息 安全 的 整体 要 求 。 判 
断 选择 安全 措施 合理 性 和 充分 性 的 原则 在 数学 上 表述 为 同时 满足 必要 条 件 和 充分 条 件 , 其 
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中 普遍 性 安全 措施 是 必要 条 件 , 根 据 系统 实际 情况 选择 的 个 性 化 安全 措施 属于 充分 条 件 。 
在 实际 工作 中 ,选择 满足 信息 系统 安全 需求 的 充分 条 件 是 安全 措施 选择 的 核心 任务 。 

表 5.3 给 出 了 怎样 为 信息 系统 选择 具体 的 安全 措施 的 示例 。 标 记 为 “VV ”的 选项 代表 正 
常情 况 下 必须 实施 的 安全 措施 ; 标记 为 “(~ )” 的 选项 代表 在 某 些 情况 下 有 必要 实施 的 安全 
措施 ; 标记 为 “一 ”的 选项 代表 不 需要 采取 安全 措施 。 对 安全 措施 的 选择 过 程 并 没有 到 此 结 
东 , 还 要 进一步 考虑 对 安全 措施 的 功能 性 描述 ,如 果 有 必要 ,应 该 从 有 关 的 参考 资料 中 获取 


有 关 安 全 措施 的 进一步 的 信息 。 


表 5.3 特定 安全 措施 的 选择 


联网 的 工作 站 (不 共 | 联网 的 服务 器 或 联网 
独立 的 工作 站 | 总 次 源 的 客户 机 ) | 且 共 享 资源 的 工作 站 

识别 与 到 别 
地 道 的 信息 先行 识别 
于 六 的 信息 进行 识别 与 ) 本 
通过 用 户 持 有 的 东西 进行 的 识别 与 

一 (V) ~ 
鉴别 
通过 用 户 自身 的 特性 进行 的 识别 与 

Ss es (VV) 
鉴别 

权限 控制 和 审计 

使 用 权限 控制 策略 = 
用 户 对 计算 机 的 使 用 权 J OI 
用 户 对 数据 ,服务 器 和 应 用 软件 的 使 和 
用 权 
对 使 用 权 进 行 检查 和 更 新 四 二 I 
审计 日 志 二 J 贡 

芒 护 恶 意 代码 
扫描 装 鞠 a J J 
完整 性 检测 (工具 ) V V 到 
移动 存储 介质 的 传递 控制 V V 
规程 方面 的 安全 措施 二 区 汪 

网 络 管理 
操作 性 规程 可 更 J 
系统 规划 二 = V 
网 络 配置 = J 
网 络 分 离 a = V 
网 络 监控 全 二 
入 侵 检测 二 y J 

密码 技术 
维护 数据 机 密 性 CD) 0 CE 
维护 数据 完整 性 ey) CO) oy) 
抗 抵 可 和 CO) 
数据 真实 性 二 CO) oy 
密 铀 管理 二 oy) 
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5.4.3.4 根据 保护 重点 和 威胁 选择 安全 措施 

根据 安全 保护 重点 和 面 对 的 威胁 选择 安全 措施 时 ,首先 要 识别 并 评估 安全 保护 重点 的 
价值 ,针对 每 一 个 信息 系统 资源 保护 重点 列 出 所 面临 的 威胁 ,然后 针对 每 一 个 威胁 列 出 保护 
点 在 机 密 性 ,完整 性 、 可 用 性 和 可 确认 性 方面 的 安全 需求 , 据 此 选择 能 满足 安全 需求 的 安全 
措施 ,并 保证 安全 措施 的 功能 和 效力 对 抗 威胁 的 充分 性 。 

1. 评估 安全 保护 重点 

为 了 合理 地 选择 适当 的 安全 措施 ,首先 要 了 解 支持 组 织 业务 运营 的 信息 系统 资源 中 那 
些 本 身价 值 很 大 和 能 力 丧 失 或 降低 后 造成 的 损失 很 大 的 资源 ,从 中 识别 出 安全 保护 重点 , 根 
据 这 些 资源 的 脆弱 性 程度 和 面 对 的 威胁 强度 评估 安全 风险 ,导出 可 应 对 风险 的 安全 需求 ,在 
此 基础 上 恰当 地 选择 能 满足 安全 需求 的 安全 措施 。 如 果 需 要 高 保护 强度 的 资源 点 分 布 复 
杂 , 则 应 根据 详细 风险 分 析 情 况 来 选择 安全 措施 。 对 于 具体 需要 保护 这 些 重点 资源 的 哪 一 
个 或 哪 几 个 安全 特性 (包括 机 密 性 、 完 整 性 .可 用 性 等 ) ,应 根据 风险 分 析 结果 来 确定 。 

重点 保护 对 象 应 包括 信息 系统 本 身 、 由 信息 系统 存储 或 处 理 的 信息 、 由 信息 系统 完成 或 
支持 的 业务 流程 。 信 息 系统 的 不 同 部 分 或 由 信息 系统 存储 和 处 理 的 信息 的 不 同 部 分 可 能 对 
应 不 同 的 安全 特性 ,需要 重点 保护 。 把 安全 保护 重点 和 保护 重点 中 需要 保护 的 安全 特性 与 
资产 直接 联系 而 建立 对 应 关系 非常 重要 ,因为 这 样 可 以 增强 所 选择 安全 措施 与 保护 对 象 的 
针对 性 。 因 此 这 里 的 安全 保护 重点 应 明确 地 说 明 需 要 重点 保护 的 资源 点 (例如 某 个 数据 存 
储 区 域 或 某 个 信息 体 ) 及 其 需要 重点 保护 的 安全 特性 (例如 数据 存储 区 域 或 某 个 信息 体 的 机 
密 性 、 完 整 性 ,可 用 性 、 可 控 性 等 )。 

进一步 ,通过 对 管理 缺失 ,不 当 或 信息 系统 资源 的 漏洞 给 业务 造成 损失 的 严重 性 (是 严 
重 损 失 , 较 小 损失 还 是 不 会 造成 损失 ) 的 具体 分 析 , 就 可 以 对 安全 保护 重点 做 出 准确 的 评估 。 
例如 ,如 果 一 个 组 织 机 构 的 投标 信息 在 信息 系统 上 进行 处 理 时 被 有 意 无 意 地 未 授权 泄露 , 那 
么 可 能 会 使 项 目 招标 活动 面临 失控 ,给 该 组 织造 成 巨大 的 经 济 损失 或 社会 信誉 损失 ,因此 就 
要 求 对 这 类 信息 在 各 个 处 理 环节 进行 严格 的 机 密 性 和 完整 性 保护 ; 相反 ,如 果 本 是 已 经 公 
开 的 信息 在 信息 系统 上 进行 处 理 , 那 么 未 授权 的 泄露 并 不 会 给 公司 造成 实际 的 损失 ,那么 对 
这 类 信息 就 无 须 进行 机 密 性 保护 ,但 应 进行 完整 性 保护 。 所 以 信息 系统 资源 在 不 同 的 业务 
安全 目标 情况 下 同样 存在 的 脆弱 性 在 面 对 同 样 的 威胁 时 所 产生 损失 的 严重 程度 可 能 完全 不 
同 ,所 需 的 安全 保护 需求 的 差别 很 大 。 

如 果 信 息 系统 处 理 多 种 类 型 的 信息 ,那么 就 应 根据 信息 的 种 类 分 别 评估 。 对 信息 系统 
进行 的 保护 应 该 保证 对 所 有 种 类 的 信息 的 安全 需求 都 是 足够 的 和 均衡 的 。 这 时 ,如 果 某 些 
信息 需要 较 高 要 求 的 安全 ,那么 应 对 其 适当 加 大 保护 。 如 果 系 统 中 只 有 很 少 的 信息 涉及 较 
高 的 安全 要 求 , 可 考虑 把 这 些 信息 集中 起 来 移 到 一 个 子 系统 或 一 个 小 的 区 域 中 单独 给 予 高 
强度 的 安全 保护 ,避免 由 于 保护 个 别 信息 而 提高 整个 系统 的 保护 力度 。 当 然 , 前 提 是 这 样 做 
不 会 导致 业务 流程 的 冲突 。 

当 可 能 发 生 的 机 密 性 、 完 整 性 可用性、 可 确认 性 和 真实 性 等 安全 特性 降低 或 均 失 只 会 
造成 可 以 忍受 的 损失 时 ,选择 某 类 基线 安全 措施 就 能 为 所 涉及 信息 系统 提供 足够 的 保护 。 
如 果 经 评估 会 造成 严重 的 或 不 可 接受 的 损失 ,就 应 考虑 增加 额外 的 安全 措施 ,必要 时 采用 详 
细 风 险 分 析 方 法 来 确定 安全 措施 的 选择 。 

下 面 对 一 些 常见 安全 特性 的 丧失 可 能 导致 的 后 果 分 别 给 予 示例 性 说 明 : 
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1) 丧失 机 密 性 

资产 机 密 性 的 (有 意 或 无 意 ) 丧 失 会 导致 : 

。 组织 或 其 信息 系统 失去 公众 的 信任 ,或 损害 组 织 的 公共 形象 ; 

。 引起 法 律 纠 纷 或 责任 ,包括 由 违反 与 数据 保护 有 关 的 法 律 所 引起 的 问题 ; 

。 由 于 组 织 内 部 信息 的 (有 意 无 意 地 ) 不 适当 泄露 引起 社会 动荡 ; 

。 个 人 隐私 受到 侵犯 ; 

。 直接 或 间接 的 经 济 损失 ; 等 等 。 

上 述 示 例 性 说 明 只 是 列举 ,不 是 概括 ,更 不 是 穷 举 ,本 小 节 后 面 类 似 地 方 的 说 明 与 此 
相同 。 

根据 对 这 些 列举 (不 限于 这 些 列举 ) 示 例 的 具体 理解 可 判定 丧失 机 密 性 会 造成 的 损失 的 
严重 程度 是 严重 一般 还 是 无 关 紧 要 。 

2) 丧失 完整 性 

资产 完整 性 的 (有 意 或 无 意 ) 丧 失 会 导致 ; 
不 完整 的 信息 导致 决策 发 生 错误 ; 
。 对 内 信息 不 可 用 ; 
。 对 外 信息 错乱 ,损坏 组 织 形象 和 信誉 ,丧失 公众 信任 或 市 场 份额 ,或 造成 社会 恐慌 ; 
业务 管理 职能 出 现 混乱 ， 
现实 的 和 潜在 的 经 济 损失 ， 

。 引起 法 律 纠纷 和 责任 , 除 承 担 严重 违反 国家 法 律 的 责任 外 ,甚至 可 能 导致 巨大 的 社 

会 不 良 后 果 或 巨额 经 济 赔偿 ; 等 等 。 

根据 对 此 类 列举 (不 限于 这 些 列举 ) 示 例 的 具体 理解 可 判定 丧失 完整 性 会 造成 的 损失 的 
严重 程度 是 严重 .一般 还 是 无 关 紧 要 。 

3) 丧失 可 用 人 性 

应 用 软件 可 用 性 或 信息 可 用 性 的 (有 意 或 无 意 ) 丧 失 将 引发 一 系列 问题 ,导致 ; 

。 无 法 执行 管理 业务 ,或 无 法 提供 组 织 承诺 的 信息 服务 ; 

。 组 织 或 其 信息 系统 失去 公众 的 信任 ,或 损害 组 织 的 公共 形象 ; 
引发 各 种 合同 纠纷 或 巨额 赔偿 ; 
直接 或 间接 的 经 济 损失 ; 

。 法 律 责 任 ,包括 由 违反 与 数据 保护 有 关 的 法 律 所 引起 的 以 及 因 违 反 合 同 的 最 后 期 限 

规定 所 引起 的 责任 ; 

。 巨大 的 恢复 成 本 ; 等 等 。 

应 该 注意 的 是 ,丧失 可 用 性 所 造成 的 损失 一 般 会 因 可 用 性 丧失 时 间 的 长 短 不 同 而 有 很 
大 的 差别 。 所 以 应 考虑 在 不 同时 段 内 可 用 性 的 丧失 会 带 来 的 各 种 损失 ,并 评估 每 个 时 段 中 
丧失 可 用 性 可 能 造成 损失 的 严重 性 .并 以 此 制订 相应 的 应 急 恢 复 计 划 。 

根据 对 以 上 列举 (不 限于 这 些 列举 ) 示 例 的 具体 理解 可 判定 丧失 可 用 性 造成 损失 的 严重 
程度 是 严重 .一般 还 是 无 关 紧 要 。 

4) 丧失 可 确认 性 

系统 用 户 及 其 行为 的 可 确认 性 的 丧失 可 能 导致 ; 

。 用 户 对 系统 进行 违规 或 越权 操作 ; 
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。 发 生 非 真实 用 户 的 欺骗 行为 ; 
。 为 商业 间谍 留 下 入 侵 系 统 的 机 会 ; 
。 无 法 跟踪 到 操作 主体 及 其 行为 ; 
。 法 律 责 任 , 包 括 违反 与 操作 行为 有 关 的 法 律 所 引起 的 责任 ,由 于 不 能 确认 真实 责任 
者 ,组 织 必 须 承 担 不 该 承担 的 责任 ; 等 等 。 
根据 对 以 上 列举 (不 限于 这 些 列举 ) 示 例 的 具体 理解 可 判定 丧失 可 确认 性 会 造成 损失 的 
严重 程度 是 严重 一般, 还 是 无 关 紧 要 。 
5) 丧失 真实 性 
数据 和 消息 来 源 真 实 性 的 丧失 会 造成 无 法 确定 消息 的 真实 来 源 或 消息 的 真实 性 ,不 管 
这 些 数据 和 消息 是 被 人 使 用 还 是 被 系统 使 用 ,都 会 产生 不 可 预测 的 后 果 。 尤 其 在 分 布 式 系 
统 中 ,这 类 问题 更 为 突出 。 丧 失真 实 性 会 导致 : 
。 发 生 欺骗 行为 ; 
。 不 真实 的 信息 会 误导 用 户 或 系统 做 出 错误 操作 和 判断 ; 
。 无 法 确认 外 部 人 员 对 系统 进行 的 操作 ; 
。 为 商业 间谍 留 下 可 利用 的 漏洞 ; 
。 法 律 责 任 ,包括 违反 与 操作 规范 有 关 的 法 律 引 起 的 责任 。 
根据 对 以 上 列举 (不 限于 这 些 列举 ) 示 例 的 具体 理解 可 判定 丧失 真实 性 会 造成 损失 的 严 
重 程度 是 严重 .一般 还 是 无 关 紧 要 。 
2. 维护 机 密 性 的 安全 措施 
本 节 列 举 可 能 会 危及 机 密 性 的 威胁 形式 和 维护 机 密 性 的 安全 措施 ,包括 从 不 知 其 存在 
性 \ 不 可 访问 性 和 不 可 理解 性 3 个 方面 予以 描述 ,其 中 所 说 的 机 密 性 信息 与 机 密 信息 的 概念 
是 不 同 的 ,前 者 说 的 是 具有 机 密 性 属性 的 信息 ,后 者 说 的 是 按照 国家 保密 规范 所 确定 的 涉及 
国家 秘密 的 某 一 个 等 级 的 信息 ,不 过 适用 于 对 机 密 性 信息 的 保护 措施 是 保护 机 密 信 息 的 基 
本 的 或 最 低 要 求 的 保护 措施 。 
1) 防 窃听 
未 授权 访问 机 密 性 或 敏感 信息 的 手段 之 一 就 是 窃听 ,例如 利用 无 线 窃 听 电 磁 油 露 或 通 
过 线 缆 通 信 的 数据 ,下 面 介绍 相应 的 安全 措施 。 
。 物 理性 的 安全 措施 : 通过 对 房间 、 墙 壁 、 建 筑 物 或 传输 线路 等 采用 电磁 屏蔽 措施 可 
使 基于 电磁 波 窃听 的 行为 无 法 进行 或 代价 过 高 ; 另外 一 种 方式 是 进行 电磁 干扰 , 增 
强 其 窃听 的 难度 ; 对 网 络 布线 采用 屏蔽 或 双 绞 线 缆 , 有 条 件 的 地 方 尽量 采用 光纤 电 
缆 , 这 对 防 窃听 也 有 一 定 的 帮助 。 
。 通过 策略 防范 : 对 敏感 信息 或 机 密 性 信息 可 在 约定 时 间 、 地 址 和 经 过 路 径 等 方式 下 
传输 和 交换 。 
。 技术 保护 : 防 窃听 的 常用 且 有 效 的 方法 是 加 密 存储 和 加 密 传 输 。 
2) 防 恶 意 代 码 
针对 在 系统 内 植 入 代理 程序 监听 或 直接 窃取 机 密 性 信息 的 威胁 ,可 采取 的 安全 措施 
如 下 : 
。 对 潜入 或 植 入 信息 系统 的 代理 程序 (恶意 代码 ) 加 强 检 测 并 予以 清除 ,其 他 安全 措施 
见 “ 技 术 性 安全 措施 ”中 的 第 3 小 点 。 
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。 预警 和 事件 处 理 : 及 时 报告 异常 事件 能 限制 恶意 代码 攻击 ,或 降低 攻击 的 成 功率 ， 
或 降低 所 造成 的 损失 。 

3) 防 口 令 猜 测 
针对 口令 猜测 的 威胁 ,相应 的 安全 措施 如 下 : 
。 增加 口令 字 的 复杂 度 , 采 用 数字 和 大 小 写字 母 混 编 ,必要 时 可 加 入 特殊 字符 ; 
。 用 单 向 加 密 数字 作为 用 户 的 口令 字 , 然 后 在 服务 器 端 将 口令 还 原 ; 
增加 口令 字 的 长 度 ; 
定期 更 新 口令 ; 
。 采用 一 次 一 口令 的 方案 。 
4) 防 用 户 身 份 冒充 
针对 冒 用 用 户 身 份 的 威胁 ,相应 的 安全 措施 如 下 。 
。 识别 与 鉴别 : 采用 用 户 记 住 的 信息 、 所 持 有 的 东西 或 固有 特征 信息 实现 识别 与 鉴 
别 , 必 要 时 组 合 使 用 这 3 种 识别 与 鉴别 方式 ,加 大 冒充 身份 的 难度 。 
访问 控制 : 访问 控制 虽然 不 能 区 分 合法 使 用 者 和 未 授权 冒充 使 用 者 ,但 是 可 在 访问 
控制 机 制 中 附加 判定 条 件 (例如 基于 角色 的 权限 .基于 对 象 的 访问 权限 等 ) 阻 止 冒 充 
身份 者 访问 机 密 性 信息 。 
加 密 保护 机 密 性 信息 : 对 需要 保护 的 机 密 性 信息 采用 密码 技术 保护 ,即使 冒 用 身份 
者 访问 到 机 密 性 信息 ,由 于 不 持 有 解密 的 密 钥 ,也 无 法 获得 或 理解 机 密 信息 。 

5) 防 消息 的 错误 路 由 

消息 的 错误 路 由 指 故意 或 意外 地 将 消息 引导 到 错误 的 传输 方向 或 不 期 望 的 接收 地 。 面 
对 这 类 威胁 ,相应 的 安全 措施 如 下 。 

。 网 络 管理 : 确保 路 由 表 不 被 未 授权 修改 。 

。 签名 保护 : 采用 签名 技术 ,使 非法 接收 信息 者 无 法 还 原 机 密 性 信息 。 

。 对 机 密 性 数据 加 密 保护 : 一 旦 出 现 机 密 性 信息 被 引导 到 不 期 望 的 接收 者 ,由 于 不 期 

望 的 接收 者 不 持 有 解密 信息 的 密 钥 ,因此 无 法 获得 或 理解 机 密 信息 。 

6) 防盗 

含有 机 密 性 信息 的 系统 组 件 或 存储 介质 一 旦 被 资 ,可 能 直接 导致 机 密 性 信息 的 外 泄 和 
密码 系统 被 破译 ,后 果 不 可 预料 。 面 对 此 类 风险 ,相应 的 安全 措施 如 下 。 

。 物理 安全 措施 : 通过 强化 物理 保护 措施 (例如 多 重 门 禁 ) 对 存放 机 密 信 息 的 系统 设 
备 的 建筑 物 、 区 域 和 房间 的 访问 进行 控制 。 
强化 人 员 管 理 : 对 进 /出 存放 机 密 性 信息 场所 的 人 员 实 行 许可 制度 。 信 息 系 统 工作 
人 员 实 行 ID 智能 卡门 禁 出 入 制度 ; 合同 合作 人 员 实 行 有 效 期 临时 出 入 证 制度 ; 外 
访 和 参观 人 员 实 行 有 人 陪同 和 现场 监控 的 登记 制度 ; 实行 所 有 人 员 未 经 许可 不 得 
将 信息 系统 组 件 或 存储 介质 携带 出 门 的 制度 ,经 批准 赁 条 携带 物品 出 门 者 必须 登记 
在 案 。 合 同 合作 人 员 在 规定 期 限 内 临时 进入 存放 机 密 性 信息 场所 ,必须 签订 保密 
协议 。 
加 密 保护 机 密 信息 : 对 存放 在 信息 系统 内 和 便携 式 存储 介质 中 的 机 密 性 信息 采用 
密码 技术 加 密 保 护 。 
。 介质 控制 : 对 任何 含有 机 密 性 信息 的 介质 制定 拥有 、 管 理 、 保 管 和 使 用 的 控制 规范 。 
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。 视频 监控 : 对 存放 机 密 性 信息 的 场所 以 及 建筑 物 内 的 关键 部 位 安装 视频 监控 系统 。 
。 应 急 处 理 ; 一 旦 发 现 涉及 存 有 机 密 性 信息 的 设备 、 组 件 和 介质 等 被 盗 或 丢失 ,应 立 
即 启动 应 急 机 制 。 应 急 机 制 包括 立即 报警 ,维持 现场 ,追踪 、 锁 定 、 控 制 嫌 疑 人 员 ,更 

7) 防 未 授权 使 用 计算 机 数据 .服务 和 应 用 软件 

对 计算 机 、 数 据 . 服 务 和 应 用 软件 的 未 授权 使 用 可 直接 或 间接 导致 信息 的 机 密 性 丢失 。 
面 对 此 类 风险 ,采用 的 安全 措施 如 下 。 
身份 鉴别 和 权限 管理 : 加 强 对 使 用 计算 机 数据、 服务 和 应 用 软件 的 用 户 身份 鉴别 ; 
对 访问 权限 实行 更 细 粒 度 的 分 割 , 有 条 件 的 地 方 配置 PMI( 权 限 管理 基础 设施 ) 系 
统 , 强 化 对 用 户 访 问 信 息 系 统 资源 的 限定 。 
访问 控制 : 除 附 加 物理 访问 控制 措施 外 ,在 逻辑 访问 控制 机 制 中 附加 判定 条 件 ( 例 
如 基于 角色 的 权限 、 基 于 对 象 的 访问 权限 等 ) 阻 止 未 授权 访问 机 密 性 信息 。 

网 络 分 割 : 将 不 同业 务 ,不 同 用户 群 不 同 信 息 资源 等 采用 物理 的 和 逻辑 的 方法 对 
网 络 进行 分 割 ,增加 未 授权 访问 的 难度 。 

存储 介质 控制 : 在 计算 机 上 安装 移动 存储 介质 (特别 是 USB) 使 用 控制 系统 。 在 通 
过 计算 机 使 用 这 类 存储 介质 存 取 信息 时 ,对 存储 介质 的 来 源 和 合法 性 、 持 有 人 的 可 
信和 度 、 介 质 内 信息 的 传播 范围 等 进行 识别 控制 ,阻止 任何 形式 的 未 授权 使 用 。 

加 密 保护 机 密 性 数据 : 对 系统 中 可 能 面临 未 授权 访问 机 密 性 信息 的 威胁 采用 密码 
技术 加 密 保护 机 密 性 信息 ,即使 机 密 性 信息 被 未 授权 访问 ,无 解密 密 钥 也 不 能 获得 
或 理解 机 密 信 息 。 

8) 防 对 存储 介质 的 未 授权 访问 

任何 对 存储 介质 的 未 授权 访问 及 使 用 都 可 能 会 危及 个 人 隐私 及 组 织 信息 系统 资源 的 机 
密 性 。 防 止 未 授权 访问 介质 的 安全 措施 如 下 。 

。 物理 安全 : 对 集中 保管 涉 密 存 储 介 质 的 场所 实行 严格 的 门禁 措施 ,必要 时 安装 视频 
监控 系统 ; 个 人 所 持 有 的 含有 机 密 性 信息 的 介质 应 保存 在 保密 场所 ; 个 人 持 有 的 存 
储 介质 (重点 是 U 盘 ) 不 得 随意 带 在 身上 , 载 有 个 人 隐私 的 介质 应 保管 在 个 人 认为 
保密 的 地 方 。 
管理 : 含有 机 密 性 信息 的 存储 介质 的 分 发 和 借 、 还 必须 进行 登记 ; 分 配给 个 人 专用 
的 涉 密 介质 不 得 带 离 保密 场所 , 确 需 带 离 保密 场所 的 必须 报 经 批准 并 登记 ; 涉 密 介 
质 在 涉 密 系统 中 的 使 用 必须 登记 ,说 明 其 用 途 和 去 向 ; 个 人 保管 的 存储 介质 未 经 他 
人 许可 不 得 在 他 人 计算 机 上 存 取 信息 。 
必要 时 在 计算 机 上 安装 存储 介质 使 用 控制 系统 ,对 通过 存储 介质 存 取 机 密 性 信息 进 
行 识别 和 控制 。 

。 加 密 保护 机 密 性 信息 : 通过 密码 技术 对 介质 上 的 机 密 性 信息 提供 最 后 的 保护 。 

上 面 描述 了 大 量 的 保护 信息 资产 机 密 性 的 技术 性 措施 .从 中 可 以 发 现 ,有 的 技术 措施 可 
以 从 几 个 方面 保护 信息 资产 的 机 密 性 ,例如 加 密 控制 措施 如 配置 得 当 , 既 可 从 信息 资产 的 不 
可 访问 性 保护 其 机 密 性 ,又 可 从 信息 资产 的 不 可 理解 性 方面 保护 其 机 密 性 ; 另 一 方面 有 的 
地 方 则 需要 多 种 技术 措施 联合 保护 ,例如 为 了 保护 特别 敏感 或 重要 的 信息 的 机 密 性 可 能 要 
求 在 存储 、 传 输 的 多 个 方面 进行 加 密 和 访问 控制 的 保护 。 
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3. 维护 完整 性 的 安全 措施 
本 节 列 举 可 能 危及 数据 完整 性 的 威胁 及 相应 的 安全 措施 。 
1) 防 存储 介质 损伤 
存储 介质 发 生 霉 变 、 机 械 变形 和 裂纹 等 情况 ,会 危及 存储 于 其 上 的 数据 的 完整 性 。 面 对 
此 类 风险 ,相应 的 安全 措施 如 下 。 
。 控制 存储 环境 : 存储 介质 的 存放 场所 应 保持 恒温 、 恒 湿 和 空气 净化 ,存储 介质 上 不 
得 负重 ,定期 检查 存储 介质 的 物理 形态 安全 。 
。 备份 : 存储 介质 上 的 所 有 文件 ,业务 数据 都 应 该 进行 完整 备份 ,并 定期 更 新 备份 。 
2) 防 未 授权 访问 
任何 未 授权 访问 存储 介质 的 行为 都 可 能 导致 对 其 信息 的 修改 ,破坏 信息 的 完整 性 。 面 
对 此 类 风险 ,采取 的 安全 措施 如 下 。 
鉴别 与 权限 : 使 用 身份 鉴别 技术 识别 并 限定 访问 存储 介质 的 主体 ,防止 身份 假冒 ， 
进一步 核定 访问 主体 对 存储 介质 的 访问 权限 ,阻止 未 授权 或 越权 访问 存储 介质 。 
访问 控制 : 在 访问 控制 机 制 中 附加 判断 条 件 ( 例 如 基于 角色 的 权限 .基于 对 象 的 访 
问 权限 等 ) ,阻止 越权 访问 存储 介质 。 
审计 与 监控 : 通过 主机 审计 与 监控 系统 发 现 用户 未 授权 访问 存储 介质 的 尝试 或 案 
例 ,发 出 警告 并 采取 补救 措施 。 
检测 恶意 代码 : 定期 检测 可 能 潜入 系统 的 恶意 代码 ,并 予以 清除 。 
3) 防 数据 算 改 
对 存储 介质 上 的 数据 进行 的 任何 形式 的 未 授权 修改 . 增 减 , 删 除 和 重 放 都 是 对 数据 完整 
性 的 破坏 ,导致 的 后 果 是 不 可 预料 的 。 面 对 此 类 风险 ,采用 的 安全 措施 如 下 。 
。 加 密 保 护 : 通过 带 恢复 功能 的 对 称 加 密 技 术 对 被 保护 数据 加 密 , 实 现 对 完整 性 破坏 
的 检测 ,并 恢复 被 修改 的 数据 。 
。 数字 签名 保护 : 通过 带 恢 复 功 能 的 数字 签名 技术 给 被 保护 数据 附加 一 个 密码 检验 
值 , 识 别 被 保护 数据 遭 到 完整 性 破坏 的 情况 ,并 恢复 被 破坏 的 数据 。 
从 上 述 列 举 的 完整 性 保护 措施 中 可 以 发 现 , 有 很 多 措施 与 保护 机 密 性 的 措施 相似 或 相 
同 。 事实 上 ,有 一 些 技术 措施 的 确 能 在 保护 机 密 性 的 同时 也 保护 完整 性 ,同样 ,有 一 些 技 术 
措施 在 保护 完整 性 的 同时 也 保护 了 机 密 性 。 在 下 面 的 叙述 中 存在 类 似 情况 。 
4. 维护 可 用 性 的 安全 措施 
可 能 危及 可 用 性 的 威胁 和 相应 的 安全 措施 如 下 。 
1) 防 毁 坏 性 破坏 
毁坏 性 破坏 指 的 是 通过 物理 的 或 逻辑 的 方法 使 信息 系统 及 其 组 件 和 数据 不 能 保持 其 物 
理 形态 或 逻辑 形态 的 完整 性 ,导致 信息 系统 (或 组 件 ) 瘫 痪 、 丢 失 或 无 法 提供 信息 服务 。 面 对 
此 类 风险 ,采用 的 相应 安全 措施 如 下 。 
。 法 律 性 威慑 : 制定 严格 的 操作 规章 制度 ,让 所 有 的 员工 都 意识 到 必须 审慎 操作 ,如 
果 毁 坏 了 信息 或 系统 (或 组 件 ) , 则 无 论 是 故意 的 还 是 无 意 的 ,必须 受到 纪律 或 法 律 
的 惩处 。 
。 防盗 窃 : 信息 系统 的 所 有 运行 部 件 (包括 软 /硬件 系统 组件) 必须 采用 严格 的 物理 
保护 和 保安 措施 以 及 严格 的 登记 制度 ,并 在 关键 的 场所 加 装 视频 监控 系统 。 


122 
二 


。 防 丢失 : 对 信息 系统 的 所 有 部 (器 ) 件 实行 明细 登记 ,在 系统 进行 例 行 性 检查 和 维护 
后 必须 逐一 核对 系统 部 件 ,确保 信息 系统 维持 正常 运行 所 需 的 部 件 是 完整 的 。 
"备份 : 系统 中 所 有 的 文件 ,业务 数据 都 应 该 制作 备份 ,必要 时 对 信息 系统 做 最 小 集 
软 / 硬 件 的 系统 性 备份 。 
2) 防 存储 介质 不 可 用 
存储 介质 发 生 霉 变 、 机 械 变形 和 裂纹 等 情况 会 危及 存储 于 其 上 的 数据 的 完整 性 ,从 而 导 
臻 数据 直接 不 可 用 ,或 被 引用 时 不 可 用 。 面 对 此 类 风险 ,安全 措施 如 下 。 
。 控制 存储 环境 : 存储 介质 的 存放 场所 应 保持 恒温 、 恒 湿 和 空气 净化 ,存储 介质 上 不 
得 负重 ,定期 检查 存储 介质 的 物理 形态 安全 。 
。 备份 : 存储 介质 上 的 所 有 文件 ,业务 数据 都 应 该 进行 完整 备份 ,并 定期 更 新 备份 。 
3) 防 通信 设备 及 服务 方面 的 故障 
通信 设备 及 服务 故障 会 危及 数据 交换 和 传输 的 可 用 性 , 轻 则 影响 信息 系统 的 运行 效能 ， 
降低 服务 质量 , 重 则 使 信息 系统 瘫痪 或 不 能 提供 服务 。 面 对 此 类 风险 , 除 设计 时 要 有 预案 
(例如 带宽 元 余 、 关 键 设 备 的 冷 热 备份 ) 外 ,故障 出 现 后 应 分 析 原 因 , 采 取 相 应 的 安全 措施 。 
。 启 动 紧急 预案 : 系统 出 现 故障 或 故障 苗头 时 ,应 按 应 急 计 划 的 规范 有 组 织 地 迅速 查 
找 并 锁定 故障 点 ,封闭 故障 点 ; 若 判 断 关 键 设备 (例如 骨干 网 络 交换 设备 ) 出 现 故 
障 , 必 须 立 即 启动 紧急 预案 ; 凡是 有 冷 备份 的 设备 应 立即 切换 到 运行 状态 。 
。 元 余 与 备份 : 信息 交换 设备 和 存储 设备 均 应 适当 备份 ,投入 运行 的 设备 的 性 能 也 要 
有 适度 元 余 , 以 降低 超载 发 生 信息 阻塞 的 可 能 性 。 在 设计 时 ,要 根据 最 大 可 接受 的 
停工 时 间 确 定 备 用 设备 性 能 和 部 署 。 在 任何 时 候 , 系 统 及 关键 设备 的 配置 数据 都 应 
进行 备份 ,以 应 紧急 之 需 。 
。 网 络 管理 : 网 络 管理 人 员 要 利用 网 络 管理 工具 加 强 对 通信 和 网络 基础 设施 运行 情况 
的 监视 ,及 时 发 现 人 为 或 设备 缺陷 引起 的 事故 苗头 ,并 通过 资源 调度 和 调整 配置 参 
数 解决 问题 ; 密切 监视 来 自 内 外 的 通过 网 络 破 坏 通 信 网 络 基础 设施 的 先兆 和 企图 ， 
一 旦 发 现 可 疑 迹象 ,要 采取 果断 措施 (包括 预警 和 跟踪 )。 
保护 线 缆 : 对 铺设 的 线 绕 和 接头 要 采用 坚固 的 物理 措施 构造 保护 层 ,达到 抗击 自然 
灾害 和 人 为 破坏 的 合适 水 平 ; 在 线 缆 集 中 连接 等 关键 部 位 加 装 坚固 的 保护 装置 , 必 
要 时 安装 视频 监控 系统 ; 定期 检查 和 修复 存在 隐患 的 线 缆 及 保护 层 。 
抗 抵赖 : 对 由 于 人 为 制造 虚假 信息 可 能 导致 服务 的 不 可 信 ( 例 如 对 消息 收发 和 消息 
内 容 予 以 事后 否认 ) 的 服务 流程 应 配置 有 可 信 第 三 方 参与 的 抗 抵赖 措施 。 
4) 防火 患 与 水 患 
火 患 和 水 患 能 破坏 信息 设备 和 信息 的 可 用 性 。 面 对 此 类 风险 ,采取 的 安全 措施 如 下 。 
”物理 保护 : 对 于 所 有 放置 信息 设备 和 存储 介质 的 建筑 物 和 房间 都 应 采取 防火 、 防 水 
措施 ,并 设立 醒目 的 警示 性 标志 和 语言 。 
。 备份 预案 : 为 应 对 突 发 的 系统 不 可 抗拒 的 水 灾 和 火灾 ,应 制定 并 实施 业务 连续 性 方 
案 , 并 对 所 有 用 于 恢复 系统 业务 的 系统 管理 信息 和 业务 数据 进行 备份 。 
5) 防 维护 误 操作 
在 定期 维护 工作 中 出 现 误 操作 可 能 导致 系统 运行 混乱 或 系统 不 能 按 预期 运行 , 面 对 此 
类 风险 ,采取 的 安全 措施 如 下 。 
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。 按 规程 操作 : 按 操作 规程 进行 系统 维护 是 避免 维护 出 错 的 最 有 效 的 办 法 。 需 要 特 
别 说 明 的 是 ,在 维护 中 如 需 对 某 些 设备 或 组 件 进行 拆卸 和 重 装 ,在 动手 拆 外 前 要 对 
这 些 维护 点 的 现场 ( 软 /硬件 形态 和 系统 状态 ) 进 行 详细 记录 ,以 供 恢复 现场 设备 或 
组 件 时 进行 核对 。 
。 备份 : 如 果 发 生 维护 操作 错误 ,通过 备份 数据 可 以 帮助 恢复 到 维护 前 的 状态 。 
6) 防 完整 性 破坏 使 可 用 性 丧失 
系统 和 组 件 的 完整 性 被 破坏 可 使 信息 系统 丧失 可 用 性 。 面 对 此 类 威胁 和 风险 ,采取 的 
安全 措施 与 保护 数据 完整 的 措施 完全 相同 ,需要 时 可 参见 “维护 完整 性 的 安全 措施 ”的 相关 
内 容 。 
7) 防 信息 错误 路 由 
信息 的 错误 路 由 指 故意 或 意外 地 将 信息 引导 到 错误 的 传输 方向 或 攻击 者 预期 的 接收 
地 ,从 而 引发 系统 服务 出 现 混乱 。 面 对 此 类 风险 ,采取 的 安全 措施 如 下 。 
。 网 络 管理 : 确保 路 由 表 不 能 被 未 授权 修改 ,将 修改 路 由 表 的 权限 授予 范围 控制 到 
最 小 。 
。 抗 抵赖 : 对 可 能 由 于 错误 路 由 而 引发 信息 混乱 ,导致 系统 服务 出 错 的 ,在 信息 的 源 
地 和 宿 地 加 装 抗 抵赖 功能 ,核实 信息 的 真实 来 源 。 
8) 防 资 源 滥用 
对 资源 的 滥用 会 导致 信息 的 不 可 用 。 面 对 此 类 风险 ,采用 的 安全 措施 如 下 。 
纪律 约束 : 每 个 员工 都 应 意识 到 滥用 资源 可 能 引起 的 后 果 和 自己 应 承担 的 责任 。 
操作 方面 : 严格 禁止 对 系统 硬件 设施 进行 未 授权 操作 ,在 必要 的 地 方 安装 视频 监控 
系统 ,监视 未 经 许可 的 活动 ; 可 对 关键 设备 的 操作 任务 进行 分 割 , 以 使 滥用 职权 的 
风险 降 至 最 低 。 
识别 与 鉴别 : 将 适当 的 识别 与 鉴别 措施 与 逻辑 访问 控制 措施 结合 使 用 ,增强 对 未 经 
许可 的 操作 的 阻止 能 力 。 
逻辑 访问 控制 : 在 逻辑 访问 控制 机 制 中 附加 访问 资源 的 约束 条 件 ,阻止 越权 滥用 
资源 。 
网 络 管理 : 通过 适当 的 网 络 资源 配置 和 操作 权限 分 割 限制 或 阻止 未 授权 或 越权 小 
用 资源 。 
9) 规避 自然 灾害 
自然 灾害 可 能 对 信息 和 设施 造成 灾难 性 的 损害 。 面 对 此 类 风险 ,采取 的 相应 措施 如 下 。 
。 增强 建筑 物 的 物理 安全 : 针对 自然 灾害 ,应 对 建筑 物 进行 符合 国家 技术 标准 的 建设 
和 保护 (包括 抗震 、 防 洪水 、 防 泥石流 等 主要 技术 指标 ) 。 
。 业务 连续 性 方案 : 应 制订 业务 连续 性 方案 ,并 进行 严格 测试 ; 对 组 织 业务 恢复 所 必 
需 的 数据 进行 备份 ,必要 时 可 在 异地 备份 一 个 最 小 集 的 软 /硬件 系统 。 
10) 防 软 件 故 障 
软件 故障 一 般 由 软件 缺陷 在 条 件 符合 时 引发 ,故障 出 现 后 可 导致 相关 软件 中 数据 和 信 
息 的 不 可 用 。 面 对 此 类 风险 ,采用 的 相应 措施 如 下 。 
。 使 用 正版 软件 : 使 用 正版 软件 以 获得 技术 支持 ,不 使 用 正版 软件 的 复制 件 。 
。 报告 软件 故障 : 及 时 报告 并 修复 软件 故障 ,限制 软件 故障 所 造成 的 损失 。 
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。 按 规程 操作 : 对 使 用 的 软件 进行 安全 性 能 符合 度 测试 ,必要 时 对 软件 缺陷 进行 修 
复 , 以 保证 软件 的 正常 运行 ; 检测 并 消除 软件 中 的 后 门 程序 ; 对 软件 的 变更 进行 
识别 和 控制 ,以 防止 软件 更 新 时 或 软件 要 求 的 运行 环境 变更 时 ,引发 新 的 不 可 用 
问题 。 

。 备份 : 进行 必要 备份 ,以 支持 软件 故障 修复 时 能 利用 备份 将 系统 配置 数据 和 业务 运 

行 数据 进行 恢复 。 

5. 确保 可 确认 性 和 真实 性 的 安全 措施 

在 不 同 领域 的 信息 系统 内 对 可 确认 性 和 真实 性 的 要 求 是 不 一 样 的 。 相 应 地 ,应 在 不 同 
领域 的 信息 系统 中 实施 不 同 的 安全 策略 。 因 此 ,本 节 给 出 一 般 性 指导 建议 。 

1) 可 确认 性 

有 些 事件 可 能 无 法 追查 出 引发 风险 的 执行 操作 的 具体 人 员 。 此 类 例子 如 共享 账号 导致 
缺乏 对 引起 事件 的 具体 操作 的 追溯 能 力 , 对 用 户 身份 的 冒充 ,软件 出 现 故障 ,对 计算 机 、 数 
据 、 设 施 及 应 用 软件 的 未 授权 访问 ,这 些 都 可 能 是 原因 。 

有 两 种 供 选 择 的 方法 用 来 解决 这 一 问题 。 一 种 是 加 强 对 负责 具体 操作 的 人 员 的 身份 的 
鉴别 措施 ,可 防止 假冒 身份 进行 操作 的 威胁 ; 另 一 种 是 在 信息 系统 用 户 组 内 对 信息 发 出 者 
和 信息 来 源 加 装 抗 抵赖 的 措施 ,例如 使 用 数字 签名 技术 、 知 识 分 割 技 术 和 双向 鉴别 方法 等 ， 
都 能 防止 假冒 身份 抵赖 发 送 过 信息 和 发 送 的 虚假 信息 等 威胁 形式 。 

2) 真实 性 

有 些 威胁 方式 会 使 用 户 、 系 统 或 处 理 进 程 不 能 确定 某 一 个 信息 实体 到 底 是 真实 的 ,还 是 
经 筑 改 过 (或 因 传输 故障 引起 失真 ) 的 ,或 是 其 真实 来 源 , 等 等 。 例 如 信息 在 发 送 前 被 修改 或 
在 传输 中 丢失 一 些 数据 ,使 得 接收 者 无 法 判断 信息 的 真实 来 源 ,无 法 判断 接收 到 的 信息 是 发 
送 前 的 原始 信息 还 是 失真 的 信息 。 

真实 性 和 可 确认 性 是 一 对 伴生 概念 ,真实 性 指 操 作 实 体 (例如 信息 发 送 者 ) 和 始 发 地 ,以 
及 实体 操作 的 对 象 (例如 发 送 者 发 送 的 信息 内 容 ) 的 客观 存在 ; 可 确认 性 指 对 前 述 客观 存在 
的 真实 性 予以 判断 。 没 有 真实 性 问题 ,可 确认 性 就 不 存在 ; 没有 可 确认 性 ,真实 性 便 无 从 
谈 起 。 

举例 说 明 , 有 甲 、 乙 两 人 (他 们 之 间 可 能 认识 ,也 可 能 不 认识 ) , 甲 说 他 从 乙 的 朋友 丙 那 里 
来 ,并 给 乙 带 来 一 封 信 , 乙 收 到 甲 带 的 信 并 拆 开 阅 读 。 如 果 一 切 都 是 真实 的 , 谁 也 不 否认 自 
己 做 过 的 事 ,那么 什么 问题 也 没有 。 但 这 一 事件 过 程 可 能 出 现 两 个 情况 。 

情况 一 : 乙 看 到 信和 后 ,对 甲 是 否 从 丙 那 里 来 , 甲 是 否 是 他 本 人 声称 的 身份 ,以 及 甲 带 给 
乙 的 信和 是 否 真是 再 写 的 ,途中 有 否 改 过 等 一 件 事 或 多 件 事 或 全 部 表示 疑问 。 

情况 二 : 甲 在 事后 说 未 给 乙 带 过 信和 ,或 虽 受 托 带 过 信 但 并 未 改过 信和 的 内 容 ; 乙 在 事后 
否认 收 到 过 甲 带 的 信和, 或 者 否认 信 中 的 内 容 。 在 这 些 情况 出 现 后 便 需要 查实 真相 。 这 个 例 
子 中 的 所 有 疑问 都 是 由 于 对 真实 性 的 怀疑 以 及 无 法 确认 真 假 造 成 的 。 

问题 在 于 ,有 没有 办 法 使 甲 . 乙 双 方 在 过 程 中 间 判 断 真 假 .或 使 甲乙 双方 无 法 在 事后 否 
认 自 己 的 行为 ( 带 过 信和 或 收 到 过 信 ) 和 行为 的 内 容 ( 信 的 文字 内 容 ) 呢 ?这 就 是 真实 性 以 及 如 
何 确 认真 实 性 的 问题 。 

加 强 鉴 别 可 防身 份 假冒 ,数字 签名 技术 可 确保 信息 的 真实 来 源 或 检测 信息 纂 改 , 增 加 抗 
抵赖 功能 可 使 当事人 双方 在 事后 不 能 抵赖 自己 的 行为 。 
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5.4.3.5 根据 详细 风险 评估 选择 安全 措施 

根据 详细 风险 评估 结果 选择 安全 措施 时 所 遵循 的 原则 与 上 一 节 相 同 ,不 过 详细 风险 分 
析 能 从 结构 化 方面 帮助 人 们 更 为 细 粒 度 和 更 为 准确 地 考虑 信息 系统 及 其 资产 的 具体 安全 需 
求 和 对 安全 环境 的 要 求 。 

在 前 面 已 介绍 组 织 选择 信息 系统 安全 措施 的 几 种 策略 ,包括 以 下 几 种 ; 

。 对 信息 系统 的 安全 措施 使 用 “基线 ”法 进行 选择 ,而 不 必 通 过 正式 的 或 详细 的 风险 分 

析 方 法 ; 

。 在 对 信息 系统 使 用 详细 风险 分 析 法 后 按照 对 抗 风险 的 安全 需求 选择 安全 措施 ; 

。 使 用 “组 合 方法 ”对 信息 系统 风险 进行 分 析 , 即 先 对 信息 系统 中 存在 的 高 风险 (点 或 
区 域 ) 进 行 识别 ,然后 对 低 风 险 的 信息 系统 区 域 应 用 “基线 ”法 选择 一 组 “通用 ”的 安 
全 措施 ,并 对 高 风险 的 信息 系统 区 域 使 用 详细 风险 分 析 法 后 ,依照 对 抗 风险 的 安全 
需求 选择 有 针对 性 的 安全 措施 。 

下 面 进一步 介绍 对 信息 系统 使 用 详细 风险 分 析 方 法 后 ,如 何 利用 分 析 结 果 确 定安 全 
措施 。 

与 安全 措施 选择 有 关 的 因素 有 3 个 方面 , 即 脆弱 性 、 脆 弱 性 面 监 的 威胁 、 威 胁 发 生 的 影 
响 或 后 果 , 这 3 方面 在 概念 上 具有 递 推 关 系 。 脆 弱 性 是 第 一 因素 ,威胁 是 第 二 因素 ,彼此 存 
在 因果 关系 ; 接 下 来 的 分 析 因 素 是 影响 ,用 于 估计 前 两 个 因素 形成 的 损失 ; 当 这 3 个 因素 确 
定 后 ,根据 事件 发 生 概率 和 事件 造成 的 损失 即 可 判定 风险 及 大 小 。 

在 决定 对 抗 风险 的 策略 (降低 、 消 除 、 规 避 、 转 移 或 接受 ) 后 ,需要 考虑 采用 何 种 措施 才能 
满足 风险 对 抗 策 略 的 需要 ,也 就 是 通常 所 说 的 安全 需求 。 例 如 采用 降低 风险 的 策略 来 解决 
身份 假冒 的 问题 (安全 需求 ) ,那么 安全 措施 可 以 是 加 强身 份 鉴 别 等 ; 如 采用 消除 风险 的 策 
略 来 解决 交易 中 的 抵赖 问题 ,那么 安全 措施 可 以 是 使 用 可 信 第 三 方 参与 并 对 交易 信息 进行 
签名 的 仲裁 系统 ; 如 采用 规避 风险 的 策略 来 躲避 风险 ,那么 可 以 采用 的 措施 是 使 用 路 由 引 
导 方 法 将 威胁 路 径 绕 过 脆弱 点 到 达 指 定 的 可 控制 地 址 (例如 蜜 链 ); 如 采用 转移 风险 的 策略 
来 减少 所 遭受 的 损失 ,那么 可 以 采用 的 措施 是 通过 购买 保险 的 方式 在 事件 后 索赔 ; 如 决定 
采用 接受 风险 的 策略 ,那么 采用 的 措施 包括 对 残留 风险 的 评估 和 对 残留 风险 变化 的 监控 。 

安全 措施 对 抗 风险 的 形式 列举 如 下 。 

。 降低 脆弱 性 引发 风险 的 概率 和 影响 : 安全 措施 可 以 消除 脆弱 性 (例如 安装 补丁 程 
序 ) ,降低 脆弱 程度 (例如 一 个 与 外 部 网 络 相连 的 内 部 网 络 面 对 外 部 未 授权 访问 显得 
十 分 脆弱 ,安装 防火 墙 将 使 这 种 脆弱 性 大 为 降低 , 若 采用 物理 方法 与 外 网 隔离 则 可 
完全 消除 此 类 脆弱 性 ,等 等 ); 
增加 外 部 威胁 攻击 的 难度 : 安全 措施 能 降低 威胁 企图 成 功 的 可 能 性 (如 增加 口令 字 
的 长 度 和 口令 构成 复杂 度 并 不 断 更 换 口令 ,可 降低 使 用 猜测 方法 获取 口令 的 机 会 )， 
即使 面 对 某 些 恶意 攻击 ,例如 针对 窃取 敏感 数据 的 威胁 ,适当 的 安全 措施 也 可 以 阻 
止 威胁 企图 的 成 功 实施 (例如 增加 密码 算法 的 复杂 度 可 以 大 大 降低 破译 密码 的 成 功 
率 ,甚至 做 到 在 密码 生存 期 内 无 法 破译 ) 等 ; 

。 降低 影响 : 安全 措施 能 减少 或 避免 负面 影响 (例如 ,如 果 服 务 中 断 造 成 负面 影响 是 
由 于 通信 线路 和 设备 故障 引起 的 ,那么 提高 通信 线路 质量 和 对 设备 进行 备份 可 以 降 
低 服 务 中 断 的 时 间 间 隔 , 如 采用 热 备 份 基本 上 不 影响 服务 ) 。 
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但 即使 是 同一 种 安全 措施 , 面 对 不 同 的 风险 或 在 不 同 的 场合 使 用 ,其 安全 保护 效果 的 差 
别 可 能 非常 大 。 在 很 多 情况 下 ,一 个 威胁 可 利用 多 个 脆弱 性 实现 对 信息 资产 的 攻击 , 反 过 
来 ,一 个 脆弱 性 可 能 被 多 个 威胁 所 利用 。 因 此 ,如 果 一 项 降低 脆弱 性 的 安全 措施 是 用 来 阻止 
某 种 威胁 的 发 生 , 可 能 也 会 同时 阻止 男 外 的 威胁 , 反 过 来 ,要 阻止 某 一 威胁 , 则 可 能 需要 采取 
多 种 安全 措施 降低 或 消除 多 个 脆弱 性 。 

要 尽 可 能 考虑 这 些 关 系 所 带 来 的 相互 影响 或 可 能 带 来 的 额外 安全 利益 。 所 有 附带 的 安 
全 利益 也 应 该 整理 成 文档 ,以 对 某 项 安全 措施 所 能 满足 的 安全 要 求 有 一 个 全 面 的 认识 。 

一 些 软 /硬件 一 体 的 安全 设备 综合 了 多 种 安全 措施 ,能 提供 以 下 一 种 或 多 种 类 型 的 保 
护 : 预防 .阻碍 ,减缓 .检测 ,监控 以 及 安全 意识 警示 。 至 于 如 何 配置 和 激活 这 些 安全 措施 ， 
使 其 达到 最 佳 效 果 , 这 取决 于 信息 系统 的 业务 特点 和 具体 环境 以 及 每 种 安全 措施 的 主要 保 
护 目的 ,同时 还 可 能 与 管理 配置 的 技术 人 员 的 业务 素质 和 技能 有 关 。 在 很 多 情况 下 ,一 项 安 
全 措施 可 提供 多 种 保护 及 附加 的 安全 利益 。 只 要 有 可 能 ,应 尽量 选择 能 提供 多 种 安全 措施 
的 安全 设备 。 

在 涉及 以 上 安全 措施 选择 原则 时 ,要 考虑 安全 保护 成 本 与 安全 效能 之 间 的 适度 平衡 。 
如 果 过 于 强调 一 种 类 型 的 安全 措施 的 作用 或 对 某 些 资产 的 安全 保护 强度 ,那么 整体 的 安全 
性 保障 成 本 可 能 会 提高 。 

在 实施 所 建议 的 安全 措施 前 ,应 将 其 与 已 运行 的 安全 措施 做 一 个 比较 评估 。 首 先 应 考 
虑 能 否 通过 对 现行 安全 措施 的 功能 增强 或 升级 来 达到 所 要 求 的 安全 保护 等 级 。 因 为 与 引入 
全 新 的 安全 措施 相 比 ,这 样 做 的 成 本 会 低 得 多 ,而 且 安全 措施 的 运行 管理 经 验 可 以 带 来 实际 
的 安全 利益 。 

在 选择 安全 措施 时 ,要 对 实施 安全 措施 的 成 本 与 资产 的 价值 .安全 措施 所 带 来 的 收益 进 
行 权衡 。 一 方面 ,如 果 一 种 安全 措施 的 购置 和 维护 成 本 比 被 保护 资产 的 价值 高 ,就 必须 考虑 
采用 这 种 安全 措施 的 必要 性 和 合理 性 ; 另 一 方面 ,如 果 安 全 措施 的 维护 成 本 比 安全 措施 本 
身 的 购置 成 本 高 得 多 ,也 应 考虑 实施 后 的 维护 问题 。 

一 些 技术 上 的 约束 条 件 , 如 对 性 能 的 要 求 、. 可 管理 性 (对 操作 方面 的 支持 要 求 ) 和 兼容 性 
问题 等 ,可 能 会 限制 使 用 某 些 安全 措施 。 在 这 种 情况 下 ,系统 管理 者 应 与 安全 管理 者 进行 沟 
通 协调 以 确定 出 最 佳 的 解决 方案 。 一 般 的 安全 措施 都 可 能 降低 系统 运行 的 某 方面 性 能 ,但 
这 可 以 在 安全 利益 和 性 能 之 间 求 得 平衡 ,性 能 降低 的 量 以 信息 系统 服务 能 力 和 工作 人 员 可 
接受 为 最 低 要 求 。 

隐私 保护 及 法 律 约束 可 能 要 求 一 些 特定 的 安全 措施 ,因此 要 定义 满足 这 些 特定 的 保护 
和 法 律 性 要 求 的 基本 安全 措施 。 

5.4.3.6 安全 措施 的 实施 

为 了 实施 安全 措施 ,要 制订 一 个 信息 安全 措施 计划 描述 所 有 的 必要 步骤 ,负责 这 个 计划 
的 人 (一 般 是 信息 系统 安全 官员 ) 应 保证 遵照 计划 中 的 优先 顺序 和 进度 表 安 排 。 

为 保证 实施 安全 措施 计划 的 连续 性 和 一 致 性 ,安全 措施 文档 应 作为 信息 安全 文档 的 一 
个 重要 组 成 部 分 ,也 是 组 织 的 安全 文档 的 一 部 分 组 织 编写 。 

信息 安全 文档 是 一 系列 文档 的 总 和 ,包括 安全 措施 计划 .业务 连续 性 计划 、 风 险 分 析 文 
档 以 及 安全 策略 和 各 种 规程 等 。 它 应 该 完整 并 能 满足 领导 、 用 户 、 系 统管 理 员 ,维护 人 员 和 
参与 配置 和 变更 管理 的 人 员 的 需要 。 它 必须 是 通用 的 和 足够 详细 的 ,以 帮助 消除 由 于 安全 
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过 失 和 朴 忽 所 造成 的 影响 ,能 提供 保证 安全 操作 正确 和 有 效 地 执行 所 需 的 信息 。 很 多 文档 ， 
特别 是 关于 脆弱 性 、 威 胁 和 风险 的 文档 ,可 能 是 敏感 的 ,应 妥善 保护 起 来 防止 未 授权 的 泄露 。 
因此 , 绝 大 多 数组 织 都 需要 非常 小 心地 处 理 这 些 文档 ,并 且 需 要 一 种 “可 信 的 ”的 分 发 规程 。 
分 发 规程 也 应 以 某 种 方式 归档 ,包括 描述 安全 措施 的 敏感 信息 如 何 被 存储 ,访问 和 使 用 。 此 
外 ,这 个 规程 应 确认 谁 负 责 决定 被 保护 的 信息 如 何 存储 以 及 谁 可 以 访问 和 使 用 它 。 在 分 发 
规程 的 设计 中 ,安全 措施 信息 的 可 访问 性 应 考虑 到 一 些 特 别 的 因素 ,例如 在 灾难 或 其 他 不 可 
预见 的 事件 等 情况 下 ,由 于 时 间 的 紧迫 性 ,需要 尽快 找到 和 使 用 灾难 恢复 计划 。 最 后 ,对 安 
全 措施 文档 进行 严格 的 配置 控制 也 是 需要 的 ,以 保证 不 会 做 出 未 被 授权 的 更 改 而 造成 无 意 
地 或 无 知 地 降低 安全 措施 效能 的 后 果 。 

一 旦 信息 安全 措施 计划 制订 完成 并 获得 批准 后 ,安全 措施 一 定 要 付 诸 实 施 。 对 安全 措 
施 的 遵从 性 要 进行 复核 和 检测 。 进 行 安全 遵从 性 复核 ,检测 的 目的 是 检查 安全 措施 是 否 满 
足 法 律 要 求 ,是 否 被 正确 地 实施 ,它们 是 否 有 效 地 运行 和 受到 恰当 的 测试 。 安 全 测试 可 作为 
安全 遵从 性 检查 的 一 部 分 来 进行 。 安 全 测试 应 按照 安全 测试 计划 进行 ,测试 计划 应 描述 测 
试 方法 ,测试 环境 和 进度 表 。 如 果 渗 透 测试 被 风险 评估 证 明 有 效 , 则 可 以 使 用 渗透 测试 。 另 
外 ,必须 撰写 详细 的 安全 测试 过 程 ,并 使 用 标准 的 测试 报告 。 

对 于 信息 系统 和 业务 的 任何 重大 变更 都 应 该 进行 重新 评审 、 重 新 测试 ,然后 调整 信息 安 
全 措施 计划 并 重新 获得 批准 。 

在 已 经 制定 信息 安全 措施 计划 之 后 ,实施 安全 措施 是 信息 系统 安全 官员 的 责任 。 在 实 
施 过 程 中 应 考虑 下 列 情况 : 

”将 安全 措施 的 开销 维持 在 批准 的 范围 内 ， 

。 按照 信息 安全 措施 计划 的 要 求 正确 实施 安全 措施 ; 

。 按照 信息 安全 措施 计划 的 要 求 操作 和 管理 安全 措施 。 

大 多 技术 上 的 安全 措施 都 需要 操作 及 行政 管理 方面 的 补充 和 支持 , 绝 不 能 单纯 地 依赖 
技术 措施 。 

安全 措施 的 实施 同样 需要 进行 安全 意识 的 教育 培训 。 需 要 特别 参加 安全 教育 培训 的 人 
员 如 下 : 

。 开 发 信息 系统 的 负责 人 ; 

。 操作 信息 系统 的 负责 人 ; 

，” 信息 工程 及 系统 安全 官员 ; 

。 参与 安全 管理 (比如 访问 控制 ) 的 相关 负责 人 。 

当 这 些 安全 措施 得 到 批准 并 实施 后 ,就 应 该 授权 信息 系统 正式 投入 运营 或 提供 服务 。 

5.4.3.7 安全 意识 教育 培训 

组 织 内 的 信息 系统 从 管理 者 到 员工 的 所 有 层次 都 应 该 贯彻 执行 安全 意识 教育 培训 活动 
的 计划 。 没 有 基层 员工 的 接受 和 参与 ,安全 意识 活动 计划 不 可 能 获得 成 功 。 员 工 需 要 理解 
安全 意识 教育 培训 活动 计划 成 功 执行 的 重要 性 。 

安全 意识 教育 培训 活动 计划 应 该 大 力 宣 传 组 织 的 信息 安全 策略 ,并 且 确 保 所 有 人 员 完 
全 理解 与 自己 岗位 有 关 的 安全 操作 规程 以 及 各 种 正确 的 行为 规范 。 另 外 ,安全 意识 教育 培 
训 活动 计划 应 该 包含 系统 安全 规划 中 确定 的 信息 安全 目标 方针 和 策略 。 该 活动 计划 至 少 
应 包括 下 列 内 容 : 
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信息 是 如 何 分 类 的 ; 
用 户 和 组 织 应 知 的 安全 事件 的 含义 ; 
组 织 的 信息 安全 规划 中 所 包含 的 目标 方针 和 策略 ; 
待 实施 的 信息 安全 措施 计划 以 及 待 检测 的 安全 措施 ; 
信息 保护 的 基本 需求 ; 
信息 资产 所 有 者 或 管理 者 的 责任 .作业 描述 和 规程 ; 
需要 报告 和 调查 各 种 破坏 及 攻击 企图 等 事件 和 行为 ; 
以 未 授权 方式 和 越权 方式 行事 的 后 果 ( 包 括 纪律 处 置 ,法律 惩 处 ); 等 等 。 

有 效 的 安全 意识 教育 培训 活动 计划 有 各 种 形式 ,例如 宣传 册 、 员 工 安全 手册 海报、 案例 
或 演习 视频 、 新 闻 报道 演练 .专题 讨论 会 .研究 班 、 专 题 安全 演讲 等 。 重 要 的 是 ,安全 意识 教 
育 培训 活动 计划 的 实施 应 该 考虑 社会 ,文化 ,心理 学 和 法 律 等 方面 的 约束 ,努力 做 到 权力 和 
义务 的 平衡 ,强制 与 兴趣 结合 。 

安全 意识 教育 培训 应 该 使 组 织 中 的 每 一 个 人 受益 ,从 正面 影响 人 们 的 行为 规范 ,引导 并 
提高 全 体 人 员 的 责任 感 和 成 就 感 。 提 高 每 个 员工 的 安全 意识 是 各 层次 负责 人 的 工作 之 一 ， 
因此 他 们 应 该 制订 相应 的 实施 安全 意识 教育 活动 计划 的 策略 。 在 大 型 组 织 中 ,信息 安全 意 
识 教育 培训 活动 的 组 织 协调 责任 由 组 织 的 信息 安全 官员 承担 。 

安全 意识 教育 培训 活动 应 该 定期 反复 进行 , 既 可 以 更 新 原 有 员工 的 安全 知识 ,又 可 以 使 
新 员工 了 解 这 方面 的 情况 ,同时 了 解 和 熟悉 新 知识 、 新 技术 、 新 规程 。 此 外 ,每 一 位 新 员工 、 
每 一 位 履行 新 岗位 职责 者 以 及 新 升迁 者 都 应 该 受到 安全 意识 的 再 教育 ,以 了 解 自己 新 的 责 
任 和 所 需 的 新 规程 。 将 信息 安全 方面 的 知识 融合 到 其 他 培训 课程 中 是 安全 意识 教育 的 有 效 
方法 。 需 要 强调 的 是 ,安全 意识 教育 培训 活动 计划 是 一 个 持续 和 长 期 的 过 程 。 


5.4.4 后 续 活动 


后 续 活动 在 信息 安全 管理 中 至 关 重 要 ,但 却 容 易 被 忽略 ,已 实施 的 安全 措施 只 有 通过 实 
际 业务 运行 中 的 检验 才能 证 明 其 有 效 性 。 

后 续 活动 的 主要 目的 是 保证 安全 措施 如 设计 的 那样 发 挥 预期 作用 。 经 过 一 段 时 间 的 运 
行 ,任何 安全 服务 或 机 制 的 性 能 都 可 能 出 现 亚 化。 后续 活动 应 适时 发 现 这 种 恶化 ,并 启动 矫 
正 行动 ,这 是 维持 保护 信息 系统 所 需 的 安全 水 平 的 唯一 方法 。 下 面 各 小 节 描 述 的 一 些 活动 
计划 构成 一 个 有 效 的 后 续 活动 的 基础 。 

5.4.4.1 维护 安全 措施 


对 安全 措施 的 维护 包括 技术 的 和 行政 管理 的 措施 的 维护 ,是 一 个 组 织 的 安全 措施 计划 
的 基本 组 成 部 分 。 它 是 各 层次 安全 管理 的 共同 责任 ,包括 以 下 内 容 : 
。 协调 和 调度 组 织 的 安全 资源 以 维护 安全 措施 ; 
定期 检查 ,保证 安全 措施 的 效能 与 期 望 值 相符 ; 
重新 初始 化 密 钥 种 子 值 或 计数 器 值 等 ; 
发 现 新 的 需求 时 ,更 新 或 升级 安全 措施 (例如 升级 到 新 版 本 ); 
明确 维护 安全 措施 的 责任 ; 
维护 信息 系统 软 、 硬 件 修改 和 升级 后 不 得 改变 已 有 安全 措施 的 效能 ; 
推行 新 技术 不 应 该 导致 新 的 脆弱 性 和 威胁 。 
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在 执行 上 述 这 些 维护 活动 后 ,已 有 的 安全 措施 将 会 持续 发 挥 作用 ,负面 影响 也 会 尽量 
避免。 

5.4.4.2 安全 遵从 性 

与 安全 审计 和 安全 评审 类 似 , 安 全 遵从 性 是 保证 信息 系统 安全 计划 一 致 性 和 连续 性 的 
基础 性 活动 。 

为 了 保证 合适 的 安全 等 级 ,极为 关键 的 是 使 已 实施 的 安全 措施 遵从 和 继续 遵从 法 律 \ 信 
息 工程 或 系统 安全 策略 和 安全 措施 计划 。 在 所 有 信息 工程 和 系统 中 ,遵从 性 在 下 列 工 程 阶 
段 中 和 施工 点 上 是 必需 的 : 
。 设计 和 开发 期 间 ; 
。 系统 运行 的 维护 期 内 ; 
。 更换 系 统 组 件 和 进行 安全 事件 处 置 时 ，; 
安全 遵从 性 检测 必须 由 具有 相应 资质 和 技术 能 力 的 外 部 或 内 部 人 员 (例如 审计 员 ) 来 


对 安全 遵从 性 检测 应 精心 计划 和 组 织 , 并 将 其 与 其 他 安全 管理 计划 的 活动 整合 在 一 起 。 
现场 检测 特别 有 助 于 判断 管理 人 员 和 使 用 者 是 否 遵从 具体 的 安全 措施 及 规程 。 检 测 的 
结果 应 该 明确 指出 安全 措施 是 否 实施 .是 否 正确 实施 和 被 正确 使 用 部署 的 地 方 是 否 正确 以 
及 是 否 经 过 测试 。 如 果 发 现 某 些 安全 措施 没有 遵从 一 致 性 的 安全 策略 (例如 一 些 安全 措施 
与 另 一 些 安全 措施 存在 功能 冲突 或 安全 措施 的 功能 定义 模糊 等 ) ,应 该 制订 更 正 计 划 并 实 
施 ,更 正 的 结果 还 应 通过 评审 。 

5.4.4.3 监控 


监控 包括 人 工 和 自动 监控 ,是 信息 系统 安全 生命 周期 管理 的 一 个 关键 部 分 。 监 控 可 以 
帮助 人 们 提供 清晰 的 管理 建议 : 

。 和 设置 的 安全 目标 和 可 接受 的 最 低 安 全 目标 比较 ,安全 措施 是 否 必要 和 充分 ; 

。 安全 措施 的 效能 是 否 令 人 满意 ,以 及 特定 的 安全 保护 措施 是 否 发 挥 了 预期 作用 。 

所 有 关于 资产 .脆弱 性 、 威 胁 和 安全 措施 的 改变 都 会 对 风险 产生 潜在 的 重要 影响 ,及 早 
对 系统 变更 进行 检测 是 监控 活动 的 组 成 部 分 ,可 以 更 深入 地 理解 潜在 的 风险 。 

很 多 安全 措施 都 可 产生 一 系列 与 安全 相关 的 事件 日 志 。 对 这 些 日 志 定期 并 尽 可 能 使 用 
统计 技术 进行 分 析 , 可 以 及 早 检测 到 风险 变化 的 趋势 和 不 利 事 件 的 发 生 。 监 控 活 动 也 应 包 
括 向 相关 信息 安全 官员 报告 检测 结果 ,提出 有 量化 指标 的 建议 。 

5.4.4.4 事件 处 理 


发 生 安全 事件 后 ,必须 针对 每 个 安全 事件 发 生 的 原因 .过程 和 所 造成 的 损失 开展 调研 ， 
从 事件 中 取得 经 验 和 吸取 教训 。 事 件 处 理 过 程 要 即时 对 信息 系统 运行 中 出 现 的 偶然 或 故意 
的 安全 事件 进行 检测 和 反应 ,因此 应 该 编制 事件 处 理 报告 和 调查 方案 。 信 息 安 全 事件 调查 
的 基本 目标 如 下 : 

。 以 一 种 有 效 的 方式 搞 清 安 全 事件 来 源 、 过 程 和 和 危害 ,及 时 做 出 反应 ; 

。 从 事件 中 吸取 经 验 教训 以 防止 类 似 ( 包 括 与 此 关联 ) 的 事件 再 次 发 生 。 

对 已 制定 的 安全 事件 处 理 计 划 的 活动 进行 预先 定义 ,可 使 组 织 在 计划 的 时 间 内 做 出 相应 
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反应 。 安 全 事件 处 理 计划 必须 以 年 -月 -日 -时 -分 的 顺序 记录 所 有 事件 和 处 理 活 动 , 这 将 有 助 于 
人 们 对 安全 事件 的 全 面 了 解 ,帮助 减少 风险 。 在 分 析 记 录 的 安全 事件 信息 时 应 注意 下 列 问题 : 


何 时 发 生 了 何事 ; 

员工 是 否 已 按 计划 (包括 所 遵从 的 规程 ) 做 出 反应 ,以 及 执行 了 哪些 操作 ; 
员工 是 否 可 及 时 获得 所 需 的 信息 ; 

同类 事件 再 发 生 时 ,员工 应 如 何 应 对 。 


对 这 些 问 题 的 回答 将 有 助 于 理解 事件 处 理 过 程 。 


S.S 


5.5.1 


网 络 安全 管理 
网 络 安全 管理 概述 


本 部 分 描述 网 络 安全 管理 的 过 程 , 包 括 识 别 和 分 析 网 络 体系 结构 以 及 与 通信 连接 特 
性 、 网 络 互 连 特性 和 应 用 有 关 的 要 素 。 为 确定 安全 需求 ,必须 识别 这 些 要 素 可 能 面临 的 
现实 的 和 潜在 的 风险 ,可 为 安全 措施 的 选择 提供 指南 ,为 网 络 和 通信 方面 的 安全 管理 提 
供 指 导 。 


5.5.2 任务 
为 了 识别 与 网 络 通信 相关 的 安全 需求 和 安全 措施 ,需要 完成 以 下 任务 : 


识别 与 网 络 连 接 相 关 的 网 络 体系 结构 和 应 用 业务 特性 ,以 便 为 完成 任务 提供 必要 的 
背景 知识 ; 

识别 网 络 连接 类 型 ; 

评审 网 络 互 连 特性 以 及 互 连 的 信任 关系 ; 

评审 组 织 的 应 用 业务 运行 特点 与 网 络 结构 和 连接 的 关系 ; 

从 风险 评估 分 析 结 果 中 获得 信息 ,确定 与 风险 相关 的 要 素 ,包括 对 通过 网 络 连 接 交 
换 信息 的 业务 价值 ,以 及 通过 这 些 网 络 连接 以 非 授权 方式 可 访问 到 的 其 他 信息 及 其 
价值 ; 

评估 满足 应 用 业务 需要 的 网 络 连 接 的 普遍 性 风险 ; 

在 上 述 活动 的 基础 上 导出 满足 应 用 业务 正常 运行 的 安全 保护 需求 ,设计 出 合适 的 安 
全 保护 体系 ; 

建立 文档 ,并 审核 安全 体系 结构 的 备 选 方案 ; 

使 用 设计 的 安全 体系 ,在 安全 策略 指导 下 参照 管理 和 技术 标准 将 具体 安全 措施 选 
择 、 实 施 和 维护 的 任务 在 组 织 内 部 分 配 到 具体 部 门 或 岗位 。 


图 5. 13 解释 了 这 一 全 过 程 , 它 识别 和 分 析 了 与 网 络 通信 相关 的 确定 网 络 安全 需求 必须 
考虑 的 因素 。 
在 图 5. 13 中 , 实 线 (箭头 指向 ) 代 表 过 程 的 主要 (连接 ) 步 又 ,虚线 (箭头 指向 ) 代 表 需 要 


在 此 结 


合 对 安全 风险 分 析 结果 的 评审 意见 ,共同 识别 出 潜在 的 安全 需求 。 


对 于 这 一 过 程 中 的 某 些 步骤 ,特别 是 “评审 信息 安全 策略 ”和 “评审 网 络 结构 和 应 用 ”这 
两 个 步骤 ,需要 反复 调整 以 保证 一 致 性 。 例 如 : 


评审 信息 安全 策略 


1 
评审 网 络 结构 和 应 用 


时 
识别 网 络 连 接 类 型 


1 
评审 网 络 特性 和 信任 关系 


1 
决定 安全 风险 类 型 


识别 潜在 安全 需求 。 [= ---| 评审 安全 风险 分 析 结果 


1 
编 档 、 评 审 安全 结构 


1 
兽 施 的 选择 、 设 计 等 的 配置 做 准备 


图 5.13 网 络 安全 管理 过 程 


。 在 确定 安全 风险 的 类 型 后 ,也 许 需要 再 次 评审 组 织 的 信息 安全 策略 并 进行 必要 调 
整 ,因为 有 些 网 络 通信 因素 可 能 未 被 识别 和 考虑 ,但 却 需要 反映 在 安全 策略 的 某 一 
层次 结构 中 ; 

。 在 识别 可 能 选取 的 安全 措施 时 ,应 该 考虑 组 织 的 信息 安全 策略 的 某 些 刚性 规定 , 例 
如 安全 策略 可 能 规定 某 个 ( 些 ) 特 殊 的 安全 措施 必须 在 组 织 内 实施 ; 

。 在 审核 安全 体系 结构 的 备 选 方案 时 ,为 保证 兼容 性 ,必须 考虑 网 络 的 体系 结构 和 
应 用 。 


5.5.3 过 程 识 别 和 分 析 


5.5.3.1 组 织 的 网 络 安全 策略 

组 织 的 网 络 安全 策略 应 该 包括 对 必须 保护 的 通信 网 络 资源 ,面临 的 威胁 进行 分 类 ,获得 
被 保护 网 络 资源 机 密 性 、 完 整 性 、 可 用 性 、 可 确认 性 和 真实 性 保护 的 陈述 。 

例如 ,可 用 以 下 表述 来 说 明 一 个 策略 : 

。 重点 保证 通信 网 络 带宽 、 网 络 设备 的 交换 容量 和 性 能 ,重点 保护 通信 网 络 基础 设施 

维持 业务 连续 性 的 可 用 性 ; 

。 防范 来 自 外 部 对 网 络 服务 通道 的 阻塞 ; 

。 防范 来 自 内 部 人 员 对 网 络 设备 的 未 授权 访问 ; 

。 不 允许 内 部 计算 机 通过 拨号 电话 线路 绕 过 防火 墙 与 外 部 网 络 连接 ; 

。 网 络 内 的 所 有 用 户 必须 经 过 安全 网 关 才 能 与 Internet 连接 ,并 接受 审计 ; 

。 选择 安全 网 关 必 须 同时 保证 遵从 法 律 性 规定 和 满足 安全 条 件 下 的 性 能 要 求 ; 等 等 。 

(特别 提醒 ,以 上 所 列 陈述 并 不 具体 针对 某 一 信息 系统 的 通信 和 网络 安全 策略 ,而 是 一 些 
策略 条 目的 概念 性 陈述 ,不 可 在 制定 策略 时 直接 套用 。) 


1 
es 


5.5.3.2 网 络 体系 结构 和 应 用 


1. 概述 
在 网 络 体系 结构 和 应 用 中 需要 考虑 的 问题 如 下 : 
。 网 络 的 类 型 ; 
。 网 络 协议 ; 
。 网 络 应 用 类 型 。 
2. 网 络 的 类 型 
依据 网 络 覆 盖 的 区 域 ,网 络 可 划分 为 以 下 类 型 : 
。 局 域 网 (LAN): 用 于 一 个 组 织 将 本 地 的 计算 资源 互 连 起 来 的 相对 独立 的 物理 网 络 。 
。 城 域 网 (MAN): 用 于 在 一 个 都 市 范围 或 一 个 综合 业务 地 域内 将 多 个 组 织 的 局 域 网 
互 连 起 来 的 区 域 性 物理 网 络 。 
。 广域网 (WAN): 用 于 比 城 域 网 范围 更 大 的 区 域 将 各 种 物理 网 络 (包括 局 域 网 、 城 域 
网 和 远程 通信 终端 ) 互 连 起 来 ,直到 采用 Internet 技术 覆盖 全 球 范围 。 广 域 网 是 一 
个 广泛 的 概念 ,前 述 定义 中 的 广域网 可 以 指 覆 盖 跨 地 区 或 国家 的 物理 网 络 , 也 可 以 
指 在 全 球 骨 干 物理 网 络 上 以 国际 互联 网 (Internet, 因 特 网 ) 通 信 协 议 组 建 的 各 种 形 
式 的 虚拟 专用 网 络 的 总 称 。 
3. 网 络 协议 
不 同 的 网 络 协议 具有 不 同 的 安全 特性 ,因此 需要 分 别 予 以 考虑 ,例如 : 
。 共享 介质 的 网 络 协议 主要 用 于 LAN 中 ,有 时 也 用 在 MAN 中 ,这 类 协议 使 用 IEEE 
802 委员 会 制定 的 系列 技术 标准 ,在 互 连 的 系统 或 用 户 之 间 提供 机 制 来 管制 所 使 用 
的 共享 的 网 络 介质 。 因 为 使 用 共享 的 网 络 介质 ,该 网 络 上 的 所 有 信息 对 连 在 一 起 的 
那些 计算 机 和 计算 机 系统 来 说 都 是 物理 上 可 访问 的 。 
。 路 由 选择 协议 用 于 在 MAN 和 WAN 中 通过 不 同 节点 传送 信息 时 定义 传送 路 径 。 
信息 对 在 此 路 径 上 的 所 有 系统 来 说 都 是 物理 上 可 访问 的 ,并 且 路 径 是 可 以 改变 的 。 
不 同 的 网 络 拓扑 形式 (例如 总 线 型 环形 和 星 形 等 ) 可 以 使 用 单一 的 网 络 协议 ,也 可 能 同 
时 使 用 多 种 协议 (例如 一 个 大 型 网 络 ,骨干 网 络 使 用 一 种 协议 ,而 在 内 部 局 域 网 中 使 用 另外 
的 协议 ) ,包括 通过 有 线 或 无 线 技术 实现 的 网 络 。 这 些 网 络 拓扑 中 使 用 的 网 络 协议 从 安全 角 
度 看 是 有 区 别 的 。 
4. 网 络 应 用 类 型 
需要 考虑 网 络 应 用 类 型 与 安全 的 关系 ,这 些 类 型 如 下 : 
。 基于 终端 仿真 的 网 络 应 用 模式 ; 
。 基于 存储 、 转 发 和 假 脱 机 处 理 的 网 络 应 用 模式 ; 
。 客户 /服务 器 (C/S) 应 用 和 浏览 器 /服务 器 (B/S) 应 用 模式 。 
5. 其 他 考虑 
当 评 审 网 络 体系 结构 和 网 络 应 用 类 型 对 安全 的 影响 时 ,还 应 该 考虑 存在 于 组 织 内 部 的 
连接 以 及 “外 部 ”与 组 织 发 生 的 网 络 连 接 。 由 于 网 络 协议 冲突 或 合同 要 求 ,组 织 已 存在 的 连 
接 也 许 会 限制 或 阻止 新 的 连接 。“ 外 部 ”进入 组 织 或 从 组 织 向 外 部 网 络 的 连接 将 会 引起 额外 
的 脆弱 点 ,从 而 导致 更 高 的 风险 ,因此 需要 采用 额外 的 安全 措施 。 


5.5.3.3 ”网络 连接 的 类 型 

一 个 组 织 可 能 需要 利用 不 同 的 网 络 连 接 类 型 来 满足 多 种 业务 需求 。 有 些 连接 可 以 通过 
专用 (物理 ) 网 络 实现 ,有 些 可 以 通过 公共 网 络 实现 (任何 组 织 或 个 人 都 可 以 访问 )。 很 显然 ， 
使 用 专用 网 络 的 连接 与 通过 公共 网 络 的 连接 ,无 论 是 自身 的 脆弱 性 还 是 面临 的 风险 都 大 不 
一 样 。 不 同类 型 的 网 络 连接 也 可 以 提供 某 些 相同 的 网 络 服务 ,例如 电子 邮件 、 电 子 数据 交换 
(EDD) 等 。 当 然 ,还 可 以 使 用 因特网 (Internet) 和 在 其 上 组 建 的 内 联网 (Intranet)、 外 联网 
(Extranet) 以 提供 更 广泛 的 个 性 化 的 企业 或 商业 服务 。 每 一 种 网 络 类 型 都 可 能 面临 相同 的 
(共性 ) 和 不 同 的 (个 性 ) 安 全 考虑 ,因为 每 一 种 类 型 的 连接 都 有 各 自 的 脆弱 性 集合 ,其 中 有 的 
脆弱 性 是 共有 的 ,有 的 是 某 种 网 络 连接 特有 的 ,这 就 需要 具体 识别 ,从 而 确定 相应 的 风险 , 据 
此 选用 不 同 的 安全 措施 。 

表 5.4 给 出 了 网 络 连 接 的 一 种 分 类 方式 。 


表 5.4 网 络 连接 的 类 型 


网 络 连接 类 型 
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描 述 


组 织 内 ,并 在 同一 个 控制 区 域内 
的 物理 连接 


在 一 个 控制 区 域内 将 同一 组 织 内 的 不 同 部 分 之 间 互 连 起 
来 ,如 单独 控制 的 建筑 物 内 的 物理 网 络 或 局 域 网 。 组 织 
外 的 用 户 不 大 可 能 未 授权 进入 网 络 系统 


同一 组 织 内 ,处 于 不 同 地 理 位 置 


通过 广域网 或 内 联网 将 一 个 组 织 的 区 域 分 部 (或 区 域 分 
部 与 总 部 ) 之 间 互 连 起 来 。 内 部 所 有 的 用 户 都 能 通过 该 
网 络 访问 组 织 的 信息 系统 ,但 并 不 是 组 织 内 的 所 有 用 户 
都 有 权力 访问 所 有 的 应 用 和 信息 ( 即 每 个 用 户 只 能 根据 


的 本 分 的 相生 圭 扶 所 授予 的 权限 进行 访问 ) 。 
组 织 可 使 用 远程 访问 方式 进行 网 络 维护 ,这 种 连接 类 型 
的 用 户 和 连接 需要 更 高 的 授权 

组 织 的 站 点 与 远离 组 织 的 个 人 | 员工 在 家 里 或 者 其 他 远程 站 点 通过 网 络 与 组 织 相连 ,使 


工作 站 点 之 间 的 连接 (远程 连 
接 ) 


用 移动 数据 终端 访问 组 织 的 信息 系统 。 用 户 在 他 自己 的 
系统 中 被 授权 为 系统 用 户 


关系 密切 的 不 同 组 织 间 相 互 连 
接 , 即 由 于 合同 或 其 他 法 律 绑 定 
关系 ,或 由 于 商业 共同 利益 关 
系 , 例 如 银行 业 和 保险 业 


在 两 个 或 更 多 的 组 织 间 通 过 城 域 网 或 外 联网 的 互 连 。 这 
种 网 络 连接 和 本 表 第 2 种 类 型 类 似 , 不 同 的 是 这 种 方式 
中 互 连 的 站 点 属于 两 个 或 更 多 个 组 织 , 而 且 这 种 连接 并 
不 提供 对 每 个 参与 组 织 的 所 有 应 用 的 访问 权力 ,只 在 不 
同 组 织 的 相同 业务 部 门 或 合作 业务 之 间 相互 授权 访问 


一 个 组 织 与 其 他 组 织 的 连接 


一 个 组 织 通过 服务 供应 商 的 链接 访问 其 他 组 织 的 远程 数 
据 库 。 在 这 种 类 型 的 网 络 连 接 中 ,组 织 内 的 所 有 用 户 需 
由 被 访问 组 织 ( 其 信息 可 提供 访问 ) 单 独 预 授权 。 不 过 ， 
这 类 连接 可 能 访问 到 其 组 织 内 的 某 些 应 用 程序 的 信息 ， 
而 这 些 信息 可 以 同时 提供 给 内 部 和 外 部 的 用 户 。 在 这 种 
情况 下 ,应 该 知道 访问 信息 的 用 户 是 来 自 外 部 并 且 获 得 
授权 的 。 反 过 来 说 ,被 访问 的 组 织 可 使 用 这 类 连接 对 位 
于 该 组 织 外 的 设备 进行 远程 维护 ,这 就 必须 为 使 用 这 种 
访问 连接 方式 的 用 户 和 连接 授予 更 高 的 权限 
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序 号 网 络 连接 类 型 描 述 

由 组 织 的 用 户 通过 因特网 的 连接 访问 公共 数据 库 、Web 
站 点 或 使 用 电子 邮件 服务 ,连接 目的 是 为 了 信息 检索 、 访 
问 公共 资源 和 收 / 发 邮件 等 ,这 类 连接 并 不 需要 得 到 组 织 
的 特别 的 预 授权 。 在 这 种 类 型 的 连接 中 ,无 论 是 获得 授 
权 还 是 出 于 个 人 目的 ,组 织 对 此 类 行为 很 少 或 不 予 控制 。 
不 过 ,可 能 存在 来 自 外 部 通过 因特网 对 组 织 的 信息 设备 
进行 访问 的 风险 。 而 在 这 种 连接 类 型 中 ,组 织 对 来 自 外 
部 个 人 的 访问 一 般 不 会 单独 特别 地 予以 预 授 权 


续 表 


6 与 公共 网 络 连 接 


5.5.3.4 网 络 特性 和 安全 可 信 度 


1. 网 络 特性 
网 络 特性 包括 网 络 类 型 及 其 安全 属性 ,网 络 类 型 不 同 ,其 相应 的 安全 属性 可 能 存在 
差别 。 
一 些 专 用 于 承载 一 般 数 据 或 应 用 程序 的 基础 性 网 络 的 特性 及 其 安全 属性 情况 如 下 : 
。 公共 网 络 : 任何 人 都 可 不 经 特别 授权 (收费 服务 许可 除外 ) 访 问 或 利用 的 网 络 , 这 种 
网 络 几乎 没有 安全 保证 。 
。 专 有 (用 ) 网 络 : 一 个 由 组 织 自己 组 建 或 租用 专线 组 成 的 网 络 , 专 为 组 织 的 特定 业务 
提供 网 络 支持 ,一 般 不 对 外 连接 ,但 可 以 通过 特别 通道 与 外 网 连接 ,而 这 类 通道 一 般 
不 授权 组 织 内 部 个 人 使 用 ,因此 认为 它 比 公 网 更 安全 。 
。 交换 网 络 : 为 不 同 局 域 网 之 间 和 使 用 异 构 网 络 协议 的 网 络 之 间 提 供 互 连 互通 的 网 
络 基 础 设施 , 接 入 这 类 网 络 一 般 需 要 特别 许可 ,并 需 安 装 相 应 的 网 络 设备 ,这 类 网 络 
的 连接 有 临时 性 和 永久 性 两 种 ,其 中 临时 性 连接 需要 获得 特别 授权 。 
承载 某 类 专业 数据 或 信息 并 直接 向 社会 提供 服务 的 应 用 型 网 络 的 特性 及 其 安全 属性 情 
况 如 下 : 
。 数据 网 络 : 主要 指使 用 数据 传输 协议 传输 数据 的 服务 型 网 络 ,这 类 应 用 网 络 的 相互 
连接 只 授权 给 连接 两 端 ,没有 获得 授权 或 不 理解 传输 协议 者 很 难 接 人 ,但 存在 数据 
被 窃听 的 风险 。 
。 语 音 网 络 : 主要 指使 用 专门 协议 传送 语音 和 数据 的 服务 型 网 络 ,安全 特性 同 数据 
网 络 。 
。 视频 网 络 : 主要 指使 用 视频 传输 协议 同步 传送 语音 和 图 像 的 服务 型 网 络 , 安 全 特性 
同 数据 网 络 。 
2. 网 络 的 可 信 度 
确定 了 使 用 网 络 的 类 型 ,也 就 决定 了 网 络 的 固有 安全 属性 ,进一步 对 网 络 运行 环境 和 网 
络 使 用 主体 进行 了 解 后 , 即 可 对 各 类 基础 性 和 业务 性 网 络 的 可 信 度 做 初步 估计 。 不 过 这 里 
列 出 的 可 信 度 是 从 公共 角度 比较 而 言 的 ,一 般 都 不 能 作为 组 织 内 部 定义 的 可 信和 度 加 以 引用 ， 
因为 组 织 内 部 对 网 络 的 安全 可 信 度 要 求 一 般 还 要 高 一 些 。 
表 5.5 所 示 的 阵列 关系 示意 了 各 类 团体 网 络 与 其 可 信和 度 的 关系 。 


表 5.5 团体 网 络 的 可 信和 度 描述 
可 信和 度 描 述 


低 未 知 的 用 户 团体 的 网 络 ,一 般 不 可 控 


hh 熟知 的 用 户 团体 的 网 络 , 并 且 属 于 关系 密切 的 业务 团体 (团体 内 有 两 个 ( 含 ) 组 织 ) 成 员 


高 熟知 的 用 户 团体 的 网 络 , 并 且 只 在 一 个 关系 密切 的 业务 组 织 内 


各 类 团体 网 络 利用 适用 的 网 络 ( 公 网 或 专 网 ) 组 网 或 连接 的 可 信 关 系列 于 表 5.6 中 ( 表 
中 的 数字 1 一 6 是 表 5. 4 的 网 络 连接 类 型 序号 ) 。 


表 5.6 信任 关系 识别 


可 信 度 
网 络 连接 类 型 

低 中 高 
6 4 2 
公 网 E 
4 4 1 
专 ( 私 ) 网 5 5 2 
六 


表 5. 6 为 每 一 相关 的 连接 确定 一 个 可 信 度 的 参考 值 。 


5.6 习题 与 思考 题 


1. 理解 信息 安全 管理 过 程 中 一 系列 活动 之 间 的 逻辑 关系 (精读 5. 1 的 内 容 ) 。 

2. 什么 是 残留 风险 和 可 接受 风险 ? 二 者 之 间 是 什么 关系 ? 

3. 重点 阅读 5. 4. 3.4 节 的 内 容 。 

4. 为 什么 说 信息 系统 资源 (资产 ) 的 脆弱 性 与 所 面临 的 威胁 具有 因果 关系 ? 这 种 内 在 
关系 对 于 思考 对 抗 威胁 的 方法 有 什么 启示 ? 举例 说 明 。 

5. 3 种 风险 分 析 方 法 分 别 适用 于 哪些 类 型 的 信息 系统 ? 

6. 在 信息 安全 管理 过 程 中 ,其 核心 思想 是 围绕 控制 风险 展开 活动 ,为 什么 要 这 样 做 ? 

7. 如 果 一 个 信息 系统 包括 3 个 子 系统 ,其 中 一 个 子 系统 为 内 部 封闭 运行 的 子 系统 ,一 
个 子 系统 为 处 理 单一 业务 但 与 公共 网 络 连接 的 子 系统 ,一 个 子 系统 为 处 理 综合 业务 信息 并 
与 多 个 外 部 信息 系统 连接 的 子 系统 ,在 风险 评估 中 应 如 何 选 取 适 当 的 风险 分 析 方 法 ? 
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第 6 章 信息 安全 管理 的 实施 


信息 安全 需要 采用 技术 和 管理 手段 来 实现 。 信 息 安全 管理 的 任务 包括 : 
9 信息 系统 风险 评估 (评估 信息 系统 及 资源 的 价值 评估 信息 资产 的 脆弱 性 、 
评估 信息 资产 脆弱 性 面临 的 威胁 、 评 估 资 产 受到 威胁 后 潜在 的 损失 和 对 组 织 
的 影响 ,全 面 评估 安全 风险 的 分 布 及 等 级 ); 回 根据 风险 导出 安全 需求 ; 
@ 根 据 安全 需求 选择 并 实施 安全 控制 措施 ; @ 评 估 实 施 安全 措施 后 的 残留 风 
险 , 并 决定 是 否 接 受 残 留 风险 ; @ 开 展 后 续 ( 跟 踪 ) 活 动 等 。 

为 完成 上 述 任务 ,信息 安全 的 管理 活动 包括 建立 安全 机 构 ; 制定 组 织 的 
信息 安全 规划 ; 制定 完成 各 项 信息 安全 任务 的 安全 管理 策略 ; 对 资产 进行 分 
类 并 落实 责任 人 ,实施 控制 ; 分 配 并 落实 各 类 人 员 的 安全 责任 ; 保障 物理 和 
环境 安全 ; 维持 业务 过 程 的 持续 性 ; 管理 信息 系统 及 环境 的 变动 ; 管理 信息 
系统 安全 设备 的 配置 及 变动 ; 检测 、 监 控 和 审计 信息 系统 的 安全 状态 ; 处 置 
信息 系统 故障 和 安全 事件 ; 各 类 遵从 性 检查 ; 制定 和 组 织 实施 信息 安全 意识 
培训 与 业务 持续 性 演练 计划 。 

在 这 些 信息 安全 管理 活动 中 ,将 采取 信息 安全 控制 措施 来 维护 信息 安 
全 。 典 型 的 控制 措施 有 编制 信息 安全 管理 策略 文档 、 信 息 安 全 责任 划分 及 分 
配 、 信 息 安全 意识 教育 与 培训 、 信 息 安全 事件 处 理 , 管 理应 急 计划 的 实施 等 。 

一 个 组 织 能 和 否 成 功 地 实现 信息 安全 ,以 下 管理 要 素 常常 是 至 关 重 要 的 : 
准确 制定 确保 组 织 业务 目标 实现 的 安全 目标 方针 和 策略 ; 安全 管理 策略 与 
组 织 的 文化 背景 和 人 文 环 境 相 适 应 ,有 利于 员工 自觉 地 接受 管理 ,增强 员工 
对 信息 安全 的 责任 感 和 荣誉 感 ; 管理 层 明确 地 承诺 并 实施 对 信息 安全 在 人 
力 、 财 力 和 行政 措施 上 的 支持 ; 准确 地 识别 信息 系统 资源 及 其 价值 ; 正确 的 
风险 评估 方法 和 准确 的 安全 需求 描述 ,恰当 地 选择 安全 措施 ; 反复 向 所 有 的 
管理 人 员 和 一 般 员工 治 输 信息 安全 理念 ,提高 安全 意识 ; 向 所 有 的 员工 和 签 
约 合作 方 发 布 关于 信息 安全 策略 与 标准 的 指南 ,解释 本 组 织 的 信息 安全 策略 
与 技术 标准 的 正当 性 和 严肃 性 ; 提供 对 组 织 内 与 信息 安全 有 关 的 人 员 分 类 、 
分 层次 的 信息 安全 培训 和 教育 ; 建立 综合 的 和 平衡 的 评估 体系 ,评估 信息 安 
全 管理 性 能 以 及 员工 所 反馈 的 改进 建议 。 


第 6 章 信息 安全 管理 的 实 | 


以 上 是 有 关 信 息 安全 管理 的 基本 要 点 ,下 面 的 内 容 将 详细 描述 其 中 重要 的 概念 和 管理 
实践 。 


6.1 信息 安全 管理 规划 


信息 安全 管理 规划 是 组 织 的 信息 安全 总 体 规划 的 组 成 部 分 ,是 信息 安全 管理 活动 的 规 
范 性 文档 。 组 织 应 为 信息 系统 的 安全 管理 制定 一 套 清晰 的 管理 规范 ,并 通过 在 组 织 内 发 布 
和 维护 信息 安全 规划 ,表明 对 信息 安全 的 支持 与 承诺 ,达到 为 信息 安全 提供 管理 活动 的 指导 
和 支持 的 目的 。 


6.1.1 管理 规划 文档 


信息 安全 管理 规划 的 文档 应 经 管理 层 批准 后 以 适当 的 方式 发 布 或 传达 到 所 有 员工 。 该 
文档 应 该 陈述 本 组 织 管理 信息 安全 的 原则 和 方法 。 信 息 安全 管理 规划 应 该 包括 以 下 内 容 : 

Q@ 定义 信息 安全 管理 的 目标 .方针 和 策略 ,说 明 信 息 安全 管理 作为 一 种 保障 措施 为 实 
现 信息 系统 安全 所 起 的 不 可 替代 的 作用 ; 

@ 陈述 管理 层 从 人 力 、 物 力 和 财力 等 方面 支持 实现 信息 安全 管理 策略 的 承诺 ; 

@ 对 组 织 有 重大 普遍 性 安全 意义 的 安全 管理 策略 中 的 规则 和 遵从 性 要 求 做 必要 说 明 ， 
例如 : 

。 遵 从 法 律 和 合同 的 要 求 ; 

。 安全 意识 教育 培训 的 要 求 ; 

。 对 计算 机 病毒 和 其 他 恶意 软件 的 防范 和 检测 ; 

。 业务 持续 性 的 管理 要 求 ; 

。 违反 安全 策略 必须 承担 的 纪律 或 法 律 后 果 。 

@ 明确 信息 安全 管理 的 共同 的 和 特定 人 员 的 责任 ,包括 报告 和 处 理 安全 事件 ; 

@ 陈述 与 其 他 支持 安全 规划 的 文档 (例如 特定 信息 系统 的 特殊 安全 管理 要 求 , 或 用 户 
应 该 特别 遵守 的 安全 管理 规则 ) 的 关系 。 


6.1.2 对 规划 的 评审 


信息 安全 管理 规划 应 由 专人 负责 维护 ,并 按照 既定 的 程序 进行 评审 。 

对 信息 安全 规划 的 维护 包括 由 于 信息 系统 遵从 的 法 律 法 规 和 组 织 安全 规划 变化 、 信 息 
系统 业务 变化 、 运 行 环境 变化 ,信息 系统 及 其 组 件 变化 等 引起 的 对 信息 安全 管理 规划 的 调整 
和 更 新 ,以 及 信息 安全 管理 规划 在 管理 实践 中 吸取 系统 管理 员 和 用 户 意见 进行 的 自我 调整 。 

对 信息 安全 规划 的 评审 应 确保 不 漏 掉 任何 可 能 影响 风险 评估 结果 的 原始 依据 及 其 变 
化 ,例如 出 现 过 重大 的 安全 事件 ,发现 新 的 脆弱 性 、 组 织 的 信息 技术 基础 设施 结构 或 使 用 的 
技术 标准 的 变化 等 。 同 时 ,应 对 以 下 各 项 进行 有 计划 的 、 定 期 的 评审 : 

。 规 划 的 有 效 性 ,可 通过 记录 在 案 的 安全 事件 的 性 质数 量 和 所 造成 的 影响 来 论证 和 

判断 信息 安全 规划 的 有 效 性 ; 

。 规划 对 业务 运行 效率 的 影响 及 需要 的 控制 成 本 ; 

。 技 术 变 化 对 规划 有 效 性 的 正面 或 负面 的 作用 。 
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评审 应 给 出 具体 结果 和 意见 ,并 提出 是 否 需要 改进 或 调整 信息 安全 管理 规划 的 建议 。 


6.2 组织 对 信息 安全 的 管理 


应 建立 安全 管理 框架 来 启动 和 控制 在 组 织 内 实施 的 信息 安全 管理 活动 ,以 在 组 织 内 有 
效 地 管理 信息 安全 。 


6.2.1 信息 安全 管理 的 基本 框架 


应 该 按照 5.4. 1.2 节 的 要 求 建立 适当 的 .具有 管理 权威 的 信息 安全 管理 委员 会 ,履行 批 
准 信息 安全 策略 ,分配 安全 职责 并 协调 组 织 内 部 信息 安全 管理 实施 的 职责 。 如 有 必要 ,应 在 
组 织 内 建立 信息 安全 咨询 专家 小 组 ,并 使 其 发 挥 作用 ; 应 建立 与 外 部 信息 安全 专家 的 联系 ， 
以 跟踪 行业 发 展 趋势 ,跟踪 信息 安全 技术 标准 和 评估 方法 的 发 展 ,建立 在 处 理 安全 事件 时 提 
供 协作 的 联络 渠道 。 另 外 ,应 鼓励 多 学 科 综 合 的 信息 安全 管理 方法 ,例如 信息 系统 各 层次 管 
理 者 ,用户 ,行政 人 员 应 用 软件 设计 人 员 .审计 人 员 和 保安 人 员 以 及 行业 (如 保险 和 风险 管 
理 领域 ) 专 家 之 间 的 配合 与 协作 。 

1. 信息 安全 管理 委员 会 的 职责 

信息 安全 管理 委员 会 应 该 承担 的 主要 职责 如 下 : 

。 向 信息 系统 管理 机 构 提 供 关 于 信息 安全 战略 规划 方面 的 建议 ; 

”审核 信息 安全 策略 ,并 提交 信息 系统 管理 机 构 批 准 ; 

。 监督 信息 安全 管理 活动 

。 评审 组 织 的 信息 安全 策略 的 有 效 性 ; 

。 批准 加 强 信 息 安全 管理 的 重大 变动 行动 ; 

。 对 安全 规划 和 信息 安全 活动 中 所 需要 的 安全 资源 (人 力 ,财力 等 ) 的 配置 提出 建议 。 

应 有 一 名 信息 安全 管理 员 负 责 管理 与 安全 有 关 的 所 有 活动 。 

2. 信息 安全 管理 的 协作 

对 于 较 大 型 以 上 组 织 的 信息 系统 ,有 必要 成 立 由 各 相关 管理 部 门 的 代表 组 成 的 跨 部 门 
的 信息 安全 协调 机 构 , 以 共同 实施 信息 安全 管理 的 控制 措施 。 其 主要 职责 如 下 : 

。 协 调 组织 内 各 信息 安全 管理 部 门 之 间 的 分 工 和 责任 ; 

。 协调 信息 安全 管理 方面 的 重大 活动 ,如 资产 分 类 和 风险 评估 ; 
协调 和 支持 全 组 织 范围 的 信息 安全 管理 活动 ,如 协调 安全 事故 调查 和 安全 意识 培训 
计划 等 ; 
确保 信息 安全 管理 活动 贯穿 信息 系统 安全 生命 周期 的 全 过 程 ; 
综合 审核 新 系统 或 业务 中 的 信息 安全 控制 措施 方面 的 充分 性 ,并 协调 安全 措施 的 
实施 ; 
加 强 全 组 织 对 信息 安全 管理 活动 的 协调 合作 。 

3. 信息 安全 责任 分 配 

信息 安全 管理 策略 应 该 明确 定义 保护 各 种 资产 和 实施 具体 的 安全 措施 过 程 的 职责 。 

应 该 用 信息 安全 管理 策略 来 指导 组 织 内 部 信息 安全 管理 任务 和 责任 的 分 配 , 必 要 时 针 
对 具体 的 地 点 、 系 统 和 服务 对 信息 安全 管理 策略 做 更 详细 的 陈述 ,清晰 地 定义 出 各 项 有 形 资 


产 和 信息 资产 以 及 业务 流程 的 管理 和 使 用 方 承担 的 责任 。 

在 大 多 数组 织 中 ,应 任命 一 名 信息 安全 官员 来 具体 负责 组 织 与 协调 信息 安全 管理 工作 
的 开展 和 实施 。 但 分 配 资源 和 具体 实施 安全 控制 措施 的 责任 一 般 由 各 部 门 管理 者 承担 , 通 
常 的 做 法 是 为 每 项 信息 资产 指定 专人 来 负责 日 常 的 安全 管理 工作 。 

信息 资产 的 负责 人 可 以 把 安全 职责 委托 给 相关 部 门 的 管理 员 或 服务 供应 商 。 但 信息 资 
产 负责 人 对 资产 的 安全 负 有 最 终 的 责任 ,并 有 权 根 据 规程 或 合同 认定 安全 责任 人 是 否 恰 当 
地 履行 了 职责 。 

对 各 个 层次 管理 者 所 负责 的 安全 领域 的 责任 进行 描述 时 ,应 特别 注意 以 下 事项 : 

。 标识 与 系统 安全 管理 有 关 的 各 种 资产 ,定义 对 这 些 资 产 的 安全 管理 规程 ; 

。 各 项 资产 或 安全 管理 过 程 的 管理 者 的 责任 应 经 过 核准 ,并 以 文件 的 形式 分 发 给 责 
任 人 ; 

。 安全 管理 责任 的 授权 规程 应 清晰 地 定义 并 记录 在 案 。 

4. 信息 处 理 设施 管理 的 授权 

在 对 新 的 信息 处 理 设施 授权 管理 时 ,应 考虑 以 下 措施 : 

。 新 的 信息 处 理 设施 应 有 适当 的 管理 制度 ,对 用 户 的 使 用 目的 和 使 用 权限 进行 授权 ， 
同时 应 得 到 负责 维护 本 地 信息 系统 安全 官员 的 批准 ,以 确保 符合 所 有 相关 的 安全 策 
略 和 要 求 ; 

。 如 有 必要 ,应 检查 硬件 和 软件 设施 ,以 确保 系统 部 件 之 间 相 互 兼容 ; 

。 使 用 个 人 信息 处 理 设 施 处 理 业务 信息 和 部 署 必要 的 控制 措施 时 都 应 获得 授权 ; 

。 在 工作 场所 使 用 个 人 信息 处 理 设施 可 能 导致 新 的 脆弱 性 ,因此 应 经 过 评估 和 授权 。 

上 述 控制 措施 在 联网 的 环境 中 尤为 重要 。 

5. 信息 安全 专家 意见 

许多 组 织 都 可 能 需要 征求 信息 安全 专家 的 意见 ,专家 可 由 组 织 内 富有 经 验 的 信息 安全 

顾问 和 资深 技术 人 员 充 当 , 也 可 外 聘 。 组 织 可 指定 专人 来 协调 专家 意见 和 组 织 中 对 信息 安 
全 的 认识 ,以 达成 共识 ,做 出 正确 的 安全 管理 决策 。 必 要 时 ,再 聘请 外 部 合适 的 专家 组 予以 
评审 。 
信息 安全 顾问 为 信息 安全 的 所 有 方面 提供 咨询 和 建议 。 他 们 对 安全 威胁 评估 的 质量 和 
对 安全 控制 措施 的 建议 水 平 决定 了 组 织 的 信息 安全 措施 的 有 效 性 。 为 使 安全 建议 最 大 限度 
地 发 挥 作用 ,他 们 应 有 权 收 集 和 询问 组 织 的 各 个 管理 层 的 具体 意见 。 

若 怀疑 信息 系统 出 现 安全 事件 或 资产 遭受 破坏 ,应 尽早 地 咨询 信息 安全 顾问 或 相应 的 
外 部 专家 ,以 获得 专业 性 指导 ,并 对 受到 威胁 的 资源 进行 调查 或 采取 补救 措施 。 尽 管 一 般 的 
内 部 安全 调查 是 在 管理 层 的 控制 下 进行 的 ,但 仍 应 听取 安全 顾问 更 为 专业 的 建议 ,以 加 深 对 
问题 的 理解 ,帮助 做 出 准确 判断 。 

6. 组 织 间 的 合作 

组 织 应 和 信息 系统 安全 的 国家 执法 机 关 、 主 管 机 构 、 信 息 服 务 提供 机 构 以 及 通信 网络 营 

运 部 门 保持 适当 的 联系 ,并 积极 参与 信息 安全 业界 组 织 的 论坛 和 技术 交流 活动 。 

在 与 机 构 外 组 织 交 换 信息 安全 管理 信息 时 必须 遵守 规定 ,不 得 将 组 织 的 信息 安全 管理 

信息 泄漏 给 非 授权 的 组 织 或 人 员 。 
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7. 信息 安全 的 独立 审计 

组 织 对 信息 系统 安全 的 审计 工作 应 该 独立 进行 ,以 确保 组 织 的 安全 措施 能 够 客观 地 反 
映 安 全 策略 的 执行 ,并 且 是 有 效 和 充分 的 。 审 计 的 目的 是 对 安全 措施 的 合法 性 (法 律 性 依 
据 )、 合 理性 (技术 标准 )\ 有 效 性 和 充分 性 (测评 ) 给 出 符合 性 结论 。 

审计 工作 应 由 组 织 内 部 的 审计 职能 部 门 独立 经 理 人 或 精通 此 种 审计 工作 的 第 三 方 机 
构 来 实施 ,审计 人 员 必 须 具 有 相应 的 从 业 资 质 和 能 力 。 


6.2.2 第 三 方 访问 的 安全 管理 


对 第 三 方 访问 组 织 内 部 的 信息 和 信息 技术 设施 必须 进行 控制 ,以 保证 第 三 方 访问 不 会 
对 组 织 的 信息 和 信息 技术 设施 带 来 安全 威胁 。 

若 业务 上 需要 第 三 方 的 参与 ,应 对 第 三 方 参与 的 必要 性 和 风险 进行 评估 ,并 采取 相应 的 
安全 控制 措施 ,确保 第 三 方 的 参与 活动 是 可 控 的 。 所 采取 的 安全 控制 措施 应 知 会 第 三 方 , 并 
在 合作 合同 中 明确 指出 。 

第 三 方 的 访问 活动 中 可 能 涉及 与 第 三 方 有 关 的 其 他 实体 (组 织 、 计 算 机 、 业 务 等 ) ,在 授 
予 第 三 方 访问 权时 应 该 考虑 到 第 三 方 可 能 将 访问 权 转 让 给 关联 实体 ,可 增加 额外 措施 (包括 
附加 访问 控制 条 件 ) ,防范 可 能 由 第 三 方 关联 实体 带 来 的 安全 风险 。 也 可 在 与 第 三 方 的 合作 
合同 中 说 明 不 得 擅自 将 授予 第 三 方 的 访问 权 转让 和 泄露 给 关联 实体 。 

在 决定 将 信息 处 理 业务 进行 外 包 时 ,对 外 包 业 务 承 包 方 访问 信息 系统 的 安全 管理 必须 
作为 签订 外 包 服 务 合同 的 必要 附加 条 款 。 

1. 识别 第 三 方 访问 的 风险 

第 三 方 可 能 访问 的 资源 类 型 如 下 : 

。 (物理 访问 ) 办 公 室 、 计 算 机 房 .文件 柜 等 ; 

。 〈 逮 辑 访问 ?组 织 的 数据 库 、 信 息 系统 的 信息 和 信息 处 理 设备 等 。 

当 业 务 上 需要 第 三 方 参与 时 ,要 对 第 三 参与 的 风险 进行 评估 , 若 现 有 安全 控制 措施 不 足 
以 防范 第 三 方 参与 的 风险 ,必须 增加 额外 安全 措施 。 

风险 评估 必须 考虑 第 三 方 的 访问 类 型 被 访问 资源 的 价值 、 对 第 三 方 访 问 的 现 有 控制 拱 
施 以 及 这 些 访 问 可 能 给 组 织 的 信息 系统 安全 带 来 的 后 果 ; 按照 合同 规定 必须 在 信息 系统 现 
场 滞留 一 段 时 间 的 第 三 方 人 员 存 在 的 安全 隐患 也 要 考虑 。 

2. 与 第 三 方 签约 时 的 安全 管理 

当 涉 及 第 三 方 访问 本 组 织 信息 及 信息 技术 设施 时 应 签订 正式 的 管理 合同 。 该 合同 应 包 
括 所 涉及 的 安全 要 求 的 细则 ,以 使 第 三 方 理解 本 组 织 的 安全 策略 和 安全 标准 ,遵守 安全 操作 
规范 。 合 同 条 款 的 陈述 应 确保 本 组 织 和 第 三 方 之 间 对 信息 安全 的 理解 一 致 

组 织 在 决定 与 第 三 方 合作 时 ,应 考察 其 具备 的 资质 和 服务 能 力 , 以 及 社会 信誉 度 。 

在 合同 中 应 该 考虑 以 下 条 款 : 

。 信息 安全 的 总 体 目标 ; 

”资产 保护 方面 ,包括 : 

=- 参与 保护 组 织 资产 (包括 信息 和 软 /硬件 在 内 ) 的 具体 内 容 ; 
一 对 资产 受到 危害 (如 数据 的 丢失 和 被 自 改 等 ) 时 认定 责任 的 方法 ; 
一 在 合同 截止 期 或 合同 执行 期 间 的 某 一 个 双方 同意 的 时 间 段 内 ,确保 第 三 方 归还 或 
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销毁 因 工 作 需 要 借用 组 织 的 信息 系统 的 控制 措施 ; 

一 资产 完整 性 和 可 用 性 的 验收 方法 ; 

-对 合作 期 间 复制 和 泄露 信息 的 限制 措施 。 

对 每 一 可 用 服务 的 描述 ; 

第 三 方 服务 等 级 的 要 求 和 服务 不 可 接受 的 判断 指标 ; 

第 三 方 人 员 调 换 的 规定 ; 

协约 方 各 自 的 责任 ; 

法 律 方面 (如 数据 保护 法 规 ) 的 责任 , 当 协 约 方 涉及 不 同 国家 的 组 织 时 ,还 应 考虑 不 
同 国家 法 律 条 款 的 区 别 ; 

知识 产权 和 版 权 转让 以 及 合作 成 果 保 护 的 规定 ; 

对 第 三 方 访问 控制 的 约定 ,包括 : 

一 服从 组 织 的 访问 控制 方法 或 遵守 双方 约定 的 访问 控制 方法 ,对 第 三 方 使 用 独特 的 
标识 符 ( 如 用 户 ID, 口 令 等 ) 的 控制 规定 ; 

-第 三 方 访问 许可 和 权限 的 授予 过 程 ; 

=- 记录 第 三 方 获准 使 用 信息 系统 资源 的 用 户 以 及 他 们 行使 权限 的 信息 。 
对 可 验证 的 性 能 进行 定义 ; 

监视 和 撤销 第 三 方 行为 权力 的 约定 ; 

组 织 审 计 或 委任 第 三 方 审 计 合同 执行 情况 的 约定 ; 

建立 解决 合作 过 程 中 出 现 问 题 的 流程 ,必要 时 还 要 考虑 应 急 安 排 ; 
软件 ,硬件 安装 和 维护 的 责任 ; 

双方 认同 的 清晰 的 报告 结构 和 报告 形式 ; 

合同 变更 的 管理 流程 ; 

对 第 三 方 用 户 和 管理 者 的 操作 和 安全 意识 的 培训 ; 

防范 第 三 方 访问 引入 恶意 软件 的 控制 措施 ; 

报告 通知 和 调查 安全 事件 和 安全 损失 的 安排 ; 

对 第 三 方 和 连带 承包 商 安 全 责任 的 界定 ; 等 等 。 


6.2.3 委 外 管理 


当 决 定 将 组 织 的 信息 系统 的 运行 .维护 或 信息 处 理 的 责任 委托 给 其 他 组 织 时 ,要 确保 委 
外 服务 过 程 中 组 织 的 信息 的 安全 性 。 

应 该 在 签订 的 委 外 服务 合同 中 表明 通信 网 络 数据库. 业务 流程 和 桌面 所 面临 的 环境 方 
面 的 风险 ,以 及 相应 的 安全 控制 措施 和 管理 规程 。 

委 外 合同 中 的 安全 要 求 要 征 得 双方 同意 。 

委 外 管理 者 的 合同 条 款 可 在 6. 2. 2 节 的 内 容 中 进行 选择 。 


6.3 资产 的 分 类 与 控制 


6.3.1 资产 清单 
应 该 编制 并 保持 与 每 一 个 信息 系统 相关 的 资产 的 清单 ,清晰 地 识别 每 项 资产 及 其 拥有 
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者 、 管 理 者 和 使 用 者 ,以 及 资产 的 当前 位 置 。 编 制 资 产 清单 是 风险 评估 的 基础 和 依据 。 

与 信息 系统 相关 的 资产 如 下 : 

”信息 资产 : 数据 文档 .系统 文件 ,用户 手册 、 培 训 资 料 、 操 作 和 支持 程序 .持续 性 计 
划 、 备 用 系统 安排 以 及 供 访问 的 信息 等 ; 
软件 资产 : 应 用 软件 .通信 软件 .系统 软件 .开发 工具 和 实用 程序 等 ; 
有 形 ( 硬 件 和 物理 ) 资 产 : 计算 机 及 外 围 设备 (PC 机 、 服 务 器 .工作 站 ,监视 器 存储 
设备 ,调制 解 调 器 显示器 、 输 入 /输出 设备 等 ) ,通信 设备 (路 由 器 、 数 字 交 换 机 ,传真 
机 、 应 答 机 等 ) ,交换 介质 (磁盘 光盘、 便携 式 存储 设备 等 ) ,传输 线 缆 ( 光 缆 、 同 轴 电 
缆 、 双 绞 线 缆 等 ) ,机 房 设施 (电源 、 空 调 设备 等 ) ,家 具 和 建筑 物 等 ; 
无 形 资产 : 计算 和 通信 服务 、 服 务 能 力 、 版 权 、 品 牌 和 形象 等 。 

应 该 对 所 有 重要 的 信息 资产 予以 识别 并 指定 负责 人 ,落实 对 其 保持 适当 控制 措施 的 责 
任 。 实 施 控制 措施 的 职责 可 以 委托 ,但 指定 的 资产 责任 人 应 对 资产 损失 负 最 终 的 责任 。 


6.3.2 信息 的 分 类 


信息 有 不 同 程度 的 敏感 性 和 重要 性 ,一 些 信 息 可 能 需要 额外 级 别 的 保护 和 特殊 处 理 。 
应 该 对 信息 进行 分 类 ,以 指明 保护 要 求 、 优 先 级 顺序 和 保护 等 级 ,确保 信息 资产 受到 适当 级 
别 的 保护 。 

根据 信息 的 安全 属性 遭 损 坏 后 的 影响 程度 确定 适当 的 信息 保护 等 级 ,同时 考虑 对 特殊 
信息 处 理 设施 的 安全 保护 的 等 级 要 求 。 

1. 分 类 准则 

信息 分 类 和 相应 的 信息 处 理 设备 的 保护 控制 措施 应 该 考虑 信息 在 共享 过 程 中 的 限制 要 
求 以 及 对 相关 业务 的 影响 ,如 对 信息 未 经 授权 的 访问 或 损坏 可 能 造成 的 直接 后 果 或 对 业务 
的 间接 影响 。 

分 类 原则 应 该 具有 预见 性 ,并 考虑 到 信息 在 分 类 后 可 以 根据 环境 或 系统 变化 按照 安全 
保护 策略 的 某 些 规定 进行 变更 。 

对 信息 进行 分 类 的 类 别 数量 不 必 强 调 所 有 的 信息 系统 都 一 样 , 而 应 根据 信息 系统 的 实 
际 情况 确定 ,以 维护 信息 保护 的 最 佳 效 费 比例 原则 。 

2. 信息 的 标识 和 处 理 

根据 所 采用 的 分 类 方案 为 信息 的 标记 和 处 理 制定 合适 的 操作 规程 。 这 些 规 程 的 适用 范 
围 必须 覆盖 以 物理 或 电子 形式 存在 的 信息 资产 。 对 于 每 一 个 信息 类 别 , 均 应 定义 处 理 的 操 
作 规 程 ,包含 对 下 列 种 类 的 信息 处 理 规程 : 

。 复制 信息 ; 

。 存储 信息 ; 

。 以 普通 邮件 、 传 真 和 电子 邮件 传递 信息 ; 

。 以 口头 方式 传送 信息 ,包括 使 用 移动 电话 .语音 邮件 、 答 录 机 等 传送 的 信息 ; 

。 应 予 销毁 的 信息 。 

敏感 或 重要 的 信息 应 该 以 适当 的 方式 进行 类 别 标识 ,该 标识 应 该 反映 分 类 准则 ,标记 的 
对 象 还 包括 打印 报告 .屏幕 显示 、 记 录 信 息 的 介质 (磁带 、 磁 盘 、 光 碟 、 盒 式 磁带 ) ,标识 的 内 容 
包括 信息 的 敏感 度 级 别 、 信 息 宿主 ,信息 记 录 方式 和 共享 范围 等 ,必要 时 还 应 对 信息 的 读 / 写 


属性 予以 标识 。 
6.4 人 员 安 全 管理 


6.4.1 雇用 和 解雇 


在 新 员工 聘用 上 岗 前 ,应 向 其 明确 安全 责任 并 包含 在 聘用 合同 条 款 中 ; 在 员工 的 雇用 
期 间 进 行 在 岗 培 训 和 监督 ,以 降低 人 为 的 操作 失误 ,防范 盗窃. 诈骗 或 滥用 设备 或 信息 的 
风险 。 

对 新 员工 在 职业 素质 和 技术 能 力 进 行 充分 的 筛选 ,尤其 是 从 事 敏 感 信息 处 理工 作 的 员 
工 ; 所 有 员工 以 及 第 三 方 (例如 产品 供应 商 、 信 息 安全 咨询 服务 商 和 工程 队伍 等 ) 的 人 员 都 
应 该 签署 保密 协议 。 

1. 岗位 责任 中 的 安全 

对 安全 管理 角色 及 其 承担 的 责任 以 文件 形式 规定 。 这 些 角色 的 责任 应 该 既 包 括 实现 
或 保持 安全 策略 的 一 般 责任 ,又 包括 保护 特定 资产 或 执行 特定 安全 过 程 或 活动 的 具体 
责任 。 

2. 人 员 选 拔 及 方针 

对 长 期 雇用 员工 的 安全 审查 应 该 在 招聘 时 进行 ,包括 以 下 事项 : 

。 审查 能 力 、 职 业 操 守 的 推荐 材料 ; 

。 考核 应 聘 者 所 学 专业 课程 情况 ; 

。 确认 所 声称 的 学 术 或 专业 资格 ; 

。 核 对 个 人 身份 (身份 证 、 护 照 或 类 似 证 件 ) 的 真实 性 和 有 效 性 。 

当 该 员工 的 岗位 具有 访问 信息 或 信息 处 理 设备 的 机 会 ,特别 是 涉及 敏感 信息 ,例如 财务 
信息 或 高 度 机 密 的 信息 时 ,组织 应 该 附加 信用 度 审查 。 对 于 拟 担任 有 相当 权力 职位 的 人 员 ， 
这 种 审查 应 该 定期 重复 进行 。 

对 于 承包 方 和 临时 员工 应 该 执行 类 似 的 筛选 程序 。 若 这 些 人 员 是 由 代理 机 构 推荐 的 ， 
则 在 与 代理 机 构 签订 的 合同 中 明确 规定 该 代理 机 构 的 推荐 责任 。 如 果 由 于 某 种 原因 不 能 完 
成 筛选 工作 或 者 对 筛选 结果 不 满意 ,必须 循环 进行 筛选 或 中 止 推荐 程序 。 

管理 层 应 该 对 有 权 访问 敏感 系统 的 新 员工 和 缺乏 经 验 的 在 岗 员 工 进行 必要 的 技术 和 管 
理 知识 培训 ,并 加 强 安全 监督 工作 ,保证 对 每 一 名 员工 所 从 事 的 与 安全 有 关 的 工作 都 受到 定 
期 的 ,来 自 更 高 层 员工 的 监督 和 指导 。 

管理 者 应 该 意识 到 员工 的 个 人 环境 和 行为 习惯 可 以 影响 他 们 的 工作 方式 。 例 如 个 人 收 
入 问题 ,行为 或 生活 方式 的 改变 ,重复 的 缺勤 以 及 精神 抑郁 或 情感 挫伤 等 可 能 滋生 员工 其 
诈 、 偷 窃 . 操 作 失误 或 其 他 安全 隐患 ,应 该 注意 并 据 此 充分 考虑 这 类 因素 对 信息 安全 保护 的 
影响 。 

3. 保密 协议 

保密 协议 用 于 明确 协议 双方 在 员工 受 雇 和 解雇 后 一 段 时 间 内 保守 相关 信息 的 秘密 ,以 
及 为 保守 秘密 必须 遵守 的 行为 规范 和 应 承担 的 义务 。 通 常 签署 此 类 协议 作为 员工 受 雇 的 必 
要 条 件 。 
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临时 员工 和 第 三 方 人 员 在 被 授予 信息 或 信息 处 理 设备 访问 权 前 应 签署 保密 协议 。 

在 雇用 条 款 或 合作 合同 条 款 发 生变 化 时 ,特别 是 员工 要 离开 组 织 或 合同 到 期 时 ,应 该 对 
保密 协议 的 执行 情况 进行 评审 ,并 规定 脱 密 期 限 及 期 限 内 的 保密 责任 。 

4. 雇用 期 限 和 解雇 条 件 

雇用 期 限 和 解雇 条 件 前 明 员工 在 雇用 期 内 的 安全 责任 以 及 解雇 的 后 续 安 全 约束 。 在 雇 
用 期 结束 后 ,这 些 安全 责任 一 般 应 该 延续 一 段 时 间 ,包括 员工 无 视 安全 要 求 和 保密 协议 时 必 
须 承担 的 后 果 。 

员工 承担 的 与 安全 有 关 的 法 律 责任 和 应 享受 的 权力 (如 涉及 版 权 或 专利 权 共 享 权 力 , 对 
雇主 数据 分 类 和 管理 的 责任 等 ) 均 应 包括 在 雇用 条 款 和 解雇 条 件 中 ,必要 时 在 雇用 期 限 中 还 
应 该 说 明 这 些 责 任 可 延伸 到 组 织 范围 以 外 和 正常 工作 时 间 以 外 (例如 在 家 里 或 出 差 在 外 地 
处 理 组 织 的 信息 业务 ) 。 


6.4.2 员工 的 在 岗 培 训 


应 对 在 岗 员 工 进 行 安全 管理 规程 和 正确 使 用 信息 处 理 设备 的 培训 ,以 尽量 降低 可 能 的 
安全 风险 ,确保 员工 意识 到 对 信息 安全 的 威胁 或 危害 的 后 果 , 并 具有 在 日 常 工 作 过 程 中 支持 
安全 策略 的 能 力 。 

组 织 中 的 所 有 员工 以 及 相关 的 第 三 方 人 员 应 该 接受 适当 的 信息 安全 教育 和 培训 ,以 及 
适应 组 织 的 安全 策略 和 管理 规程 变化 的 培训 。 培 训 内 容 包括 安全 要 求 ,法律 责 任 和 业务 控制 
措施 ,以 及 被 授权 访问 信息 或 服务 之 前 正确 执行 操作 规范 ,如 登录 方法 ,软件 包 使 用 的 培训 。 

1. 培训 模型 

培训 模型 见 图 6. 1 。 
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图 6.1 培训 模型 


2. 安全 意识 教育 和 培训 

信息 安全 意识 教育 与 培训 过 程 是 员工 培训 的 重要 组 成 部 分 , 它 将 改变 员工 个 人 对 信息 
系统 安全 的 认识 和 态度 ,使 他 们 认识 到 安全 的 重要 性 和 安全 失败 所 导致 的 不 良 后 果 。 安 全 
意识 教育 与 培训 过 程 对 所 有 员工 和 第 三 方 人 员 都 是 必需 的 。 

信息 安全 意识 教育 与 培训 必须 考虑 到 人 们 的 接受 能 力 循 序 渐进 、 逐 步 强化 。 如 果 只 考 
虑 刺激 方式 ,起 初 能 够 引起 人 们 的 注意 ,但 重复 使 用 ,学 习 者 就 会 有 选择 性 地 忽略 某 些 刺激 。 
因此 ,安全 意识 培训 必须 是 不 断 发 展 的 .具有 创新 性 的 和 有 吸引 力 的 ,以 吸引 学 习 者 的 注意 
力 , 将 那些 条 款式 的 规范 和 操作 行为 变 为 潜意识 或 习惯 性 行为 。 

总 之 ,安全 意识 教育 培训 的 目的 是 使 员工 对 网 络 信息 系统 的 脆弱 性 和 面临 的 威胁 保持 
敏感 性 ,认识 到 需要 保护 的 信息 及 正确 的 处 理 方法 。 信 息 安全 意识 培训 计划 的 基本 价值 是 
使 人 们 通过 教育 培训 适应 组 织 安全 文化 ,因为 安全 出 问题 对 每 个 人 都 会 造成 潜在 的 不 利 影 
响 。 因 此 ,信息 安全 与 每 个 人 的 工作 和 发 展 息息相关 。 

安全 技能 培训 的 目的 是 使 员工 获得 所 需 的 安全 技能 ,以 及 信息 安全 之 外 的 功能 性 专业 
知识 (例如 管理 ,系统 设计 和 开发 ,部署 . 审 计 等 )。 安 全 意识 教育 应 将 所 有 的 安全 技能 和 各 
种 功能 性 专业 的 能 力 整合 成 为 一 个 通用 的 知识 体系 ,通过 对 多 学 科 的 概念 、 原 理 和 问题 ( 技 
术 上 的 和 社会 性 的 ) 等 的 学 习 和 渗透 融合 ,从 中 培养 出 具有 远见 的 信息 技术 安全 专家 和 专 
业 人 才 。 

3. 在 职 安全 教育 

所 有 在 职 在 岗 的 各 层次 的 员工 应 针对 实际 工作 需要 不 断 接受 管理 ,技术 和 安全 意识 方 
面 的 培训 教育 。 


6.4.3 对 安全 事件 和 故障 的 响应 


影响 安全 的 事件 和 故障 应 尽快 通过 适当 的 管理 渠道 报告 给 有 关 人 员 和 机 构 , 以 便 调查 
事件 原因 和 危害 ,必要 时 启动 紧急 事件 应 急 处 理 计 划 , 尽 量 减少 安全 事件 和 故障 造成 的 损 
失 , 并 吸取 教训 。 

应 使 所 有 员工 和 合作 的 第 三 方 签约 人 知道 可 能 影响 组 织 资产 安全 的 不 同 种 类 事件 的 各 
种 报告 程序 的 规定 ,要 求 他 们 以 最 快 的 速度 把 看 到 的 或 可 疑 的 事件 报告 给 指定 的 联络 人 。 
为 妥当 地 处 理事 件 , 有 必要 在 事件 发 生 后 尽快 地 收集 证 据 、 组 织 调查 、 分 析 结 果 。 

1. 报告 安全 事件 
建立 正式 的 报告 程序 ,在 安全 事件 或 其 预兆 出 现时 ,尽快 通过 适当 的 管理 渠道 报告 给 有 
关 人 员 ; 建立 安全 事件 响应 程序 ,阐明 接 到 安全 事件 报告 后 应 立即 采取 的 行动 ; 建立 对 安 
全 事件 报告 的 反馈 程序 ,以 确保 对 安全 事件 报告 的 响应 。 

2. 报告 安全 脆弱 点 

应 该 要 求 提供 信息 服务 的 员工 记录 并 报告 任何 察觉 到 的 或 可 疑 的 系统 或 服务 流程 的 安 
全 脆弱 点 或 对 它们 的 威胁 的 预测 ,同时 可 依 规程 把 这 些 问 题 向 管理 层 或 直接 向 服务 供应 商 
反映 。 另 外 ,应 该 告知 员工 ,在 任何 情况 下 都 不 应 该 擅自 对 被 察觉 的 和 可 疑 的 脆弱 点 进行 验 
证 性 测试 ,因为 测试 脆弱 点 可 能 滥用 系统 资源 ,并 可 能 对 系统 造成 致命 损害 。 

3. 报告 软件 故障 
建立 报告 软件 故障 的 规程 应 该 考虑 以 下 步骤 : 
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。 记录 故障 特征 和 显示 在 屏幕 上 的 信息 ; 
。 隔离 有 软件 故障 的 计算 机 或 信息 处 理 设备 ,如 果 需 要 检测 有 软件 故障 的 设备 ,应 在 
重新 启用 前 将 其 与 组 织 的 所 有 网 络 断 开 , 存 储 的 信息 不 能 随意 传送 给 其 他 计算 机 ; 

。 将 事件 立即 报告 给 信息 安全 管理 者 。 

除非 获得 授权 ,员工 不 得 试图 删除 可 疑 的 软件 以 修复 故障 ,必须 由 经 过 适当 培训 并 有 经 
验 的 员工 在 授权 状态 下 执行 修复 或 恢复 工作 。 

4. 从 事件 中 学 习 

应 该 通过 统计 分 析 工 具 对 安全 事件 和 故障 的 种 类 数量 和 损失 进行 量化 分 析 , 从 中 识别 
出 安全 事件 的 特征 并 进行 观察 和 监控 。 这 类 信息 有 助 于 识别 事件 是 初次 发 生还 是 反复 发 
生 , 是 偶然 发 生还 是 有 条 件 发 生 ,为 事件 的 预测 预防 提供 参考 参数 。 

5. 和 伟 罚 程序 

对 违反 组 织 安 全 策略 和 规程 的 员工 应 该 有 正式 的 惩罚 规程 ,这 样 的 规程 对 有 意 无 视 或 
无 意 忽视 安全 策略 的 员工 将 起 到 威慑 作用 。 当 然 , 也 应 该 保证 对 被 怀疑 严重 或 连续 破坏 安 
全 的 员工 处 罚 的 准确 性 和 公正 性 。 


6.5 物理 和 环境 安全 管理 


6.5.1 安全 区 域 


关键 或 敏感 的 业务 信息 处 理 设备 应 该 放置 在 安全 区 域 ,这 一 区 域 有 规定 的 安全 边界 . 适 
当 的 安全 屏蔽 措施 和 入 口 控 制 措施 。 存 放 在 安全 区 域 的 这 些 设备 应 该 受到 符合 国家 标准 的 
物理 保护 ,防止 未 授权 的 接触 .移动 和 破坏 (安全 区 域 和 安全 域 是 两 个 不 同 的 概念 。 前 者 指 
有 一 定安 全 保证 的 区 域 。 后 者 指 信息 系统 中 具有 至 少 一 个 以 上 的 共同 安全 属性 , 且 遵 守 同 
一 安全 策略 的 信息 系统 组 成 元 素 的 集合 ,是 一 个 逻辑 概念 ) 。 
所 提供 的 保护 措施 应 该 能 防范 已 知 的 风险 。 
在 办 公 区 内 ,建议 采用 清空 办 公 桌 面 和 清除 屏幕 显示 的 策略 ,以 降低 对 文件 ,介质 和 信 
息 处 理 设备 的 未 经 授权 访问 或 破坏 的 风险 。 
1. 物理 安全 防护 带 
物理 保护 可 以 通过 在 业务 场所 和 信息 处 理 设备 周围 设置 若干 屏障 加 以 实现 ,每 个 屏障 
形成 一 个 安全 防护 带 , 安 全 防护 带 是 构成 屏障 的 某 些 东西 ,如 墙 、 卡 控 门 .有 人 值守 的 接待 台 
等 ,每 个 防护 带 都 能 增强 所 提供 的 整体 防护 。 每 个 屏障 的 设立 位 置 和 强度 依据 评估 出 的 风 
险 而 定 。 组 织 应 该 使 用 安全 防护 带 , 以 保护 放置 信息 处 理 设备 的 区 域 。 
应 该 考虑 下 述 防护 原则 和 控制 措施 : 
。 明确 规定 安全 防护 带 的 边界 和 构成 形式 ; 
。 放置 信息 处 理 设备 的 建筑 物 或 场所 的 防护 带 , 在 物理 上 应 是 相对 固定 和 坚固 的 (如 
在 防护 带 或 安全 区 域 不 应 有 能 轻易 闻 入 的 缺口 ), 场 所 的 外 墙 应 该 是 坚固 的 建筑 物 ， 
所 有 的 外 门 应 该 受到 适当 的 保护 ,包括 栅栏 、 警 铃 , 卡 锁 等 ,防止 未 经 授权 进入 ; 
。 应 该 设置 有 人 值守 的 接待 区 或 严格 的 隔离 控制 措施 ,对 场所 或 建筑 物 实施 出 入 的 物 
理 控制 ,对 场所 和 建筑 物 的 出 入 应 该 仅 限于 被 授权 的 人 员 ; 
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。 如 有 必要 ,物理 屏障 应 从 地 板 延 伸 到 天 花 板 , 以 防止 未 经 授权 地 跨越 或 观察 行为 , 隔 
离 诸如 火灾 草 延 和 环境 污染 ; 
。 安 全 防护 带 的 所 有 防火 门 应 具备 报警 功能 。 
2. 物理 进入 的 控制 措施 
安全 区 应 该 通过 适当 的 进入 控制 措施 保护 ,以 确保 只 有 经 授权 的 人 员 才 能 够 进入 ,可 考 
虑 以 下 控制 措施 : 
。 对 安全 区 的 访问 者 应 该 经 批准 并 接受 监视 ,同时 记录 进入 和 离开 的 日 期 和 时 间 。 他 
们 应 该 仅 被 允许 访问 指定 的 、 经 授权 的 场所 和 目标 ,并 发 给 他 们 关于 安全 区 域 要 求 
和 应 急 程序 的 说 明 。 
。 对 敏感 信息 和 信息 处 理 设备 的 访问 应 受到 控制 ,并 仅 限于 获得 特别 授权 者 。 使 用 鉴 
别 控制 措施 ,例如 安装 身份 标识 的 扫描 卡 ,对 所 有 访问 进行 身份 鉴别 和 授权 ,并 且 应 
该 对 所 有 访问 的 审计 日 志 进 行 安全 保护 。 
”应 该 要 求 所 有 员工 穿戴 某 种 明显 的 身份 标志 ,并 鼓励 员工 对 没有 陪伴 的 陌生 人 和 没 
有 穿戴 明显 身份 标志 的 人 进行 劝 离 或 盘问 。 
。 对 安全 区 的 访问 权 应 该 定期 评审 并 更 新 。 
3. 保护 办 公 室 、 计 算 机 房 和 设备 的 安全 
在 安全 区 内 可 能 还 有 上 锁 的 办 公 室 或 物理 安全 防护 带 内 的 若干 房间 。 安 全 区 的 选择 和 
设计 应 该 考虑 在 火灾 水灾, 爆炸 ,暴乱 和 其 他 形式 的 自然 或 人 为 灾害 发 生 时 的 应 对 措施 和 
玖 散 通道 ,遵从 卫生 规范 和 安全 法 规 和 标准 ,以 及 应 对 来 自 相 邻 场所 的 自然 的 威胁 ,例如 来 
自 其 他 区 域 的 水 泄漏 或 火 草 延 。 应 该 考虑 以 下 控制 措施 : 
。 关键 设备 的 放置 场所 应 该 避免 暴露 ; 
建筑 物 不 要 过 分 显眼 .并 尽 可 能 少 地 对 外 公布 其 用 途 ,建筑 物 内 、 外 不 放置 可 表明 存 
在 信息 处 理 活动 的 明显 标志 ; 
辅助 功能 和 设备 ,例如 影印 机 、 传 真 机 应 该 妥当 地 放置 在 安全 区 ,以 避免 可 能 危害 信 
息 安全 的 盗用 、 误 用 或 滥用 ; 
房间 在 无 人 看 管 时 门窗 应 该 关闭 上 锁 ,必要 的 地 方 应 该 考虑 对 窗户 ,特别 是 落地 窗 
户 的 外 部 保护 或 掩护 ; 
应 该 在 所 有 的 外 门 和 可 以 出 入 的 窗户 处 按 专业 标准 安装 防盗 系统 并 定期 测试 ,无 人 
区 应 该 时 刻 保持 警戒 状态 ; 
。 由 组 织 管理 的 信息 处 理 设备 应 该 和 第 三 方 管理 的 信息 处 理 设备 物理 隔离 ; 
。 显 示 敏 感 信息 处 理 设备 位 置 的 目录 和 内 部 电话 本 不 应 泄露 给 组 织 以 外 的 人 员 ; 
。 危险 或 易 燃 物品 应 该 安全 地 保存 在 与 安全 区 有 安全 距离 的 地 方 ,大 宗 消 耗材 料 如 文 
具 等 ,除非 有 必要 ,只 能 在 需要 时 才 存 放 在 安全 区 内 ; 
备用 设备 和 备份 介质 的 放置 应 该 与 原 系统 设备 和 介质 保持 安全 距离 ,以 避免 因 灾害 
蔓延 造成 同时 毁坏 。 
4. 在 安全 区 内 工作 
对 在 安全 区 内 工作 的 员工 和 第 三 方 人 员 以 及 出 现在 安全 区 的 第 三 方 活动 必须 进行 安全 
控制 ,应 该 考虑 以 下 措施 : 
。 员工 具有 在 必要 时 才能 知道 安全 区 的 存在 或 其 内 的 活动 ; 
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。 为 了 安全 和 防止 产生 恶意 行为 ,在 安全 区 内 应 该 避免 无 人 值守 的 活动 ; 

。 空闲 的 安全 区 应 该 关门 上 锁 并 定期 检查 ; 

。 第 三 方 服务 支持 人 员 只 有 在 必要 时 才 应 该 被 允许 有 限制 地 访问 安全 区 或 敏感 信息 
处 理 设备 ,这 种 访问 应 该 经 过 授权 并 接受 监督 ,在 安全 防护 带 内 具有 不 同安 全 要 求 
的 区 域 之 间 可 能 需要 隔离 控制 的 额外 屏障 和 防护 带 ; 

。 只 有 经 授权 才 允 许 使 用 照相 、 录 像 、 录 音 或 其 他 记录 设备 。 

5. 隔离 交接 区 

安全 区 域 与 外 部 的 交接 区 应 予以 控制 。 必 要 时 应 与 信息 处 理 设备 隔离 ,以 避免 未 经 

权 的 访问 ,此 类 区 域 的 安全 要 求 应 该 由 评估 出 的 风险 决定 ,可 考虑 以 下 控制 措施 : 

。 从 建筑 物 外 对 接 货 区 的 访问 应 限于 经 确认 并 予以 授权 的 人 ; 

。 应 将 接 货 区 的 结构 设计 成 送 货 员 能 够 和 卸货 却 无 法 访问 建筑 物 的 其 他 部 分 ; 

。 当 接 货 区 的 内 门 打开 时 ,外 门 应 该 有 控制 措施 ; 

。 进入 的 物品 在 从 接 货 区 转移 到 使 用 地 点 之 前 ,应 该 接受 安全 检查 ,以 防止 潜在 的 危 
险 物 品 或 物 源流 入 ; 

。 如 有 必要 ,进入 的 物品 应 在 交接 区 的 入 口 处 进行 检查 并 登记 。 


6.5.2 保护 设备 安全 


应 该 在 物理 上 保护 设备 免 受 安全 威胁 和 环境 危害 ,这 可 以 降低 对 设备 未 经 授权 访问 的 
风险 以 及 防止 丢失 或 损坏 ,还 应 该 考虑 设备 的 放置 和 布局 ,必要 的 控制 措施 可 以 防止 对 信息 
处 理 设备 和 辅助 设施 的 危害 或 未 经 授权 的 访问 。 

1. 设备 放置 和 保护 

应 该 合理 地 放置 或 保护 设备 ,以 降低 环境 威胁 和 危害 造成 的 风险 以 及 未 经 授权 访问 的 
机 会 。 应 该 考虑 以 下 控制 措施 
放置 设备 的 工作 区 应 避免 不 必要 的 参观 访问 
敏感 数据 的 信息 处 理 和 存储 设备 应 该 与 其 他 设备 分 开放 置 ; 
需要 特殊 保护 的 设备 或 物品 应 彼此 隔离 放置 ,以 降低 总 体 保护 等 级 的 需求 ; 

应 该 采取 措施 尽量 规避 潜在 威胁 的 风险 ,包括 : 

一 偷窃 ; 

一 火灾 ,爆炸 ,烟雾 、 灰 尘 、 震 动 ; 

一 用 水 (或 供水 ) 故 障 ; 
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一 电源 干扰 、 电 磁 辐 射 , 等 等 。 

禁止 在 信息 处 理 设备 附近 饮食 和 吸烟 等 行为 ; 

对 信息 处 理 设备 的 运行 环境 应 该 进行 监控 ; 

。 考虑 工业 环境 下 设备 的 特殊 保护 方法 (例如 加 键盘 保护 膜 等 ); 

。 考 虑 发 生 在 临近 区 域 的 灾害 对 设备 的 影响 ,例如 邻近 建筑 物 着 火 、 天 花 板 漏水 、 低 于 
地 平面 的 地 面 渗 水 或 临街 爆炸 等 。 

2. 供电 设施 安全 

应 该 保护 供电 设施 以 防 电源 中 断 和 其 他 与 供电 有 关 的 异常 情况 ,根据 设备 制造 商 的 要 


求 提供 足够 的 电力 ,实现 不 间断 供电 的 可 选 措 施 如 下 : 

。 多 条 线路 供电 ; 

。 配备 适当 容量 的 不 间断 电源 (UPS) 作 为 紧急 情况 的 应 急 供电 ; 

。 配备 备用 发 电机 ; 

。 配备 电源 稳 压 装置 。 

在 支持 关键 业务 运行 的 设备 上 推荐 使 用 不 间断 电源 (UPS) ,以 保证 设备 在 异常 断 电 时 
完成 正常 关机 或 保持 持续 运行 ,应 急 计划 中 应 该 包括 UPS 失效 时 所 采取 的 应 急 措施 。UPS 
设备 应 该 定期 检查 ,以 确保 其 有 足够 的 电量 维持 指定 的 供电 任务 ,并 按照 制造 商 的 建议 进行 
测试 。 

在 可 能 出 现 长 时 间 停电 的 运行 环境 中 ,应 该 考虑 配备 备用 发 电机 。 在 安装 之 后 ,发 电机 
应 该 按照 制造 商 的 说 明定 期 测试 ,保证 有 足够 的 燃料 供应 ,以 确保 发 电机 能 支持 到 供电 
恢复 。 

另外 ,紧急 电源 开关 应 位 于 信息 处 理 设备 场所 的 紧急 出 口 附近 ,以 便 在 设备 出 现 故 障 需 
要 停电 的 紧急 情况 下 迅速 切断 电源 。 为 防 电源 发 生 故 障 时 无 法 应 对 处 理 ,机 房 和 管理 场所 
必须 配备 应 急 照 明 系 统 , 并 提供 便携 式 照明 装置 。 

为 所 有 建筑 物 安装 雷电 防护 系统 ,并 在 所 有 外 部 通信 线路 上 安装 雷电 防护 过 滤器 。 

3. 线 缆 安全 

应 该 保护 传送 数据 或 支持 信息 服务 的 通信 电缆 和 电力 电缆 ,防止 窃听 或 损坏 。 通 常 考 
虑 以 下 保护 控制 措施 : 

。 接 人 信息 处 理 设备 的 电源 和 通信 线 缆 应 该 铺设 在 地 下 管 网 或 可 覆盖 的 电缆 沟 内 ,或 
者 采取 其 他 坚实 的 保护 措施 避免 暴露 或 破坏 ; 

应 该 保护 通信 电缆 以 防止 搭 线 窃听 或 破坏 .例如 通过 使 用 电缆 屏蔽 管道 和 避免 通过 
公共 区 域 ; 
。 电力 电缆 应 该 与 通信 电缆 隔离 ,并 保持 适当 的 安全 距离 ,以 防 干扰 ; 
。 对 于 敏感 或 关键 的 信息 处 理 设备 或 系统 的 供电 和 通信 线 缆 需 要 考虑 附加 的 保护 控 
制 措施 ,包括 : 
-在 电缆 端子 处 外 围 加 装 坚固 的 保护 箱 柜 并 上 锁 ; 
-必要 时 使 用 可 替换 的 路 由 选择 或 传输 介质 ; 
-传输线 缆 使 用 光纤 电缆 ; 
一 自动 或 人 工 监控 连接 在 电缆 上 的 设备 。 
4. 设备 维护 
正确 地 维护 设备 ,确保 其 完整 性 和 持续 的 可 用 性 ,应 该 考虑 以 下 控制 措施 : 
。 设备 应 该 按照 供应 商 推荐 的 维护 周期 和 规程 定期 保养 和 维护 ; 
。 只 有 经 授权 的 维护 人 员 才 能 修理 和 保养 设备 ; 
。 对 所 有 可 疑 的 和 确定 的 设备 故障 以 及 所 有 修复 和 纠正 措施 进行 完整 记录 ; 
。 在 将 设备 送 到 场所 外 维护 时 ,应 选择 定点 授权 单位 ,并 采取 适当 的 安全 控制 措施 ( 包 
括 签订 保密 协议 )。 
5. 场所 外 设备 的 安全 
经 批准 运行 在 组 织 场所 外 用 于 信息 处 理 的 设备 ,必须 评估 设备 在 组 织 场所 外 的 风险 ,应 
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提供 的 保护 强度 应 该 等 同 于 组 织 内 相同 用 途 的 设备 。 这 类 信息 处 理 设备 包括 托管 在 第 三 方 
机 房 的 信息 处 理 设备 ,以 及 用 于 家 庭 工作 或 从 正常 工作 地 点 带 出 (例如 出 差 在 外 ) 的 所 有 形 
式 的 个 人 计算 机 、 档 案 夹 ,移动 电话 ,文件 或 其 他 的 物品 。 应 该 考虑 以 下 控制 措施 : 
。 对 于 托管 在 第 三 方 机 房 的 信息 处 理 设备 应 与 第 三 方 签 订 安全 维护 协议 ,要 求 第 三 方 
必须 提供 与 组 织 内 场所 相同 的 安全 维护 强度 ,并 履行 保密 职责 ; 
。 从 组 织带 出 的 设备 和 介质 不 得 留 在 无 可 靠 人 员 看 管 的 公共 场所 ,在 旅行 途中 ,移动 
计算 机 应 该 随身 携带 (人 机 不 分 离 ) 并 加 以 适当 掩饰 ; 
。 始终 遵守 生产 商 对 设备 保养 的 规定 ,例如 不 得 暴露 于 强 电磁 场 等 ; 
。 对 用 于 家 庭 工 作 的 设备 的 控制 应 该 通过 风险 评估 ,并 采取 合适 的 措施 ,例如 文件 柜 
上 锁 、 清 空 桌面 、 清 屏 ,设置 不 易 猜测 的 进入 计算 机 的 口令 等 。 
由 于 运行 在 组 织 场所 外 的 信息 处 理 设备 所 处 的 环境 条 件 千 差 万 别 ,其 遭遇 损坏 、 偷 资 和 
窃听 的 安全 风险 差别 很 大 ,应 该 考虑 与 不 同 环境 相 适 应 的 控制 措施 。 
6. 设备 的 安全 处 置 或 再 启用 
不 慎重 处 置 或 再 启用 设备 可 能 泄漏 信息 。 存 储 过 敏感 信息 的 存储 设备 在 启用 前 ,应 该 
从 物理 上 安全 地 删除 ,而 不 是 使 用 一 般 的 计算 机 的 删除 命令 功能 ; 存储 过 敏感 信息 的 存储 
设备 不 再 使 用 时 ,应 采取 物理 销毁 措施 ,如 涉及 国家 秘密 , 则 需 交 巾 保密 部 门 指定 的 地 点 按 
指定 的 方法 销毁 。 
设备 内 置 的 或 外 部 配置 的 存储 介质 (如 固定 硬盘 ?设施 , 在 进行 销毁 、 送 修 和 再 启用 前 均 
应 按 规程 进行 严格 的 技术 检查 ,以 确保 任何 敏感 数据 和 授权 软件 被 彻底 清除 或 物理 重 写 ; 
被 损坏 的 存 有 敏感 数据 的 存储 设备 需要 经 过 风险 评估 后 ,决定 这 些 设备 是 否 应 该 销毁 修理 


6.5.3 日 常 性 控制 措施 


在 日 常 工作 中 应 注意 保护 信息 和 信息 处 理 设备 ,以 防 信息 被 泄漏 、 修 改 和 设备 丢失 或 被 
偷窃 。 
1. 清空 桌面 和 清 屏 
应 考虑 对 放置 在 桌面 的 书面 文件 及 便携 式 存储 介质 采取 桌面 清空 策略 ,防止 无 人 值守 
时 遗留 在 桌面 ; 对 信息 处 理 设备 采取 清 屏 策 略 ,以 降低 在 正常 工作 时 间 以 外 ,信息 被 未 经 授 
权 的 访问 .窃取 和 损坏 的 风险 。 这 一 控制 策略 的 宽 严 度 应 考虑 到 信息 安全 保护 等 级 ` 面 临 的 
风险 程度 和 组 织 文化 方面 等 因素 的 约束 条 件 。 
留 在 桌面 上 的 信息 存储 介质 还 有 可 能 被 火灾 水灾、 爆炸 等 灾害 损坏 或 销毁 。 
日 常 性 控制 措施 如 下 : 
。 当 书 面 文件 和 存储 介质 处 于 闲置 状态 时 ,特别 是 在 工作 时 间 外 ,应 将 其 存放 在 上 锁 
的 柜子 或 类 似 的 设备 中 ; 
。 载 有 敏感 或 关键 业务 信息 的 介质 (包括 纸 质 的 或 电子 的 ) 在 不 使 用 尤其 是 办 公 室 无 
人 看 管 时 ,应 妥善 存放 在 防火 保险 柜 或 密码 文件 柜 中 ; 
。 个 人 计算 机 和 计算 机 终端 等 在 无 人 看 管 时 不 应 处 于 登录 状态 ,应 在 空 闪 时 段 采用 封 
锁 键 盘 和 锁 屏 / 清 屏 等 方式 防范 他 人 偷 看 或 使 用 ; 
。 收发 信件 的 场所 和 无 人 看 管 的 传真 机 、 电 传 机 应 该 采取 视频 监控 措施 ; 
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。 下 班 后 应 将 复印 机 、 传 真 机 上 锁 ( 或 者 以 其 他 方式 防止 未 经 授权 的 使 用 ) ; 

”敏感 或 机 密 信 息 打 印 完 后 ,应 该 立即 从 打印 机 存储 区 中 将 其 清除 。 

2. 对 资产 搬移 的 控制 

信息 处 理 设备 和 存储 介质 等 未 经 授权 不 得 带 离 原 场所 ,人 允许 带 离 的 应 进行 外 出 携带 登 
记 , 并 要 求 带 离 者 履行 安全 保管 和 使 用 的 责任 。 


6.6 常规 性 安全 管理 


6.6.1 操作 程序 和 责任 


制定 所 有 信息 处 理 设备 的 管理 和 操作 规范 ,包括 适当 的 操作 指南 和 事件 响应 程序 ,确保 
对 信息 处 理 设备 正确 和 安全 地 操作 。 

必要 时 ,对 重要 处 理 设备 的 操作 权限 进行 分 割 , 并 划分 责任 ,以 降低 错误 的 操作 引起 的 
风险 或 故意 滥用 系统 的 风险 。 

1. 操作 程序 文档 化 

根据 安全 策略 制定 的 操作 规程 应 该 文档 化 并 加 以 维护 。 

文档 化 的 操作 规程 应 该 明确 规定 每 项 事务 流程 的 详细 操作 指导 ,包括 : 

。 信息 的 加 工 和 处 理 流 程 ; 

。 服务 的 启动 和 关闭 流程 ; 

。 操作 过 程 中 出 现 错 误 或 其 他 意外 情况 时 的 处 理 规程 ,包括 对 系统 功能 使 用 的 限制 ; 

。 发 生意 外 的 操作 失误 或 技术 困难 时 寻求 支持 的 行动 指南 ; 

。 涉 密 信息 输出 的 管理 规范 和 失效 作业 数据 输出 的 安全 处 理 流程 ; 

。 系统 失效 后 重启 系统 或 进行 系统 恢复 的 流程 ; 

。 与 信息 处 理 和 通信 设备 有 关 的 系统 日 常 管理 活动 的 日 志 记 录 规 范 , 如 计算 机 启动 和 

关机 程序 、 备 份 规范 .设备 维护 制度 ,对 计算 机 房 和 信息 处 理 设备 进 行 管理 的 备 忘 记 
录 规 定 。 

2. 对 变更 的 控制 

对 于 信息 处 理 设 备 和 系统 的 操作 规程 的 变更 必须 进行 控制 。 在 可 行 的 情况 下 ,应 把 业 
务 变更 和 操作 变更 的 控制 流程 整合 起 来 ,特别 应 考虑 以 下 控制 措施 ， 

。 重大 变更 的 识别 和 记录 ; 

。 评估 此 类 变更 的 潜在 影响 ,必要 时 启动 风险 评估 ,确定 残留 风险 是 否 可 以 接受 ; 

。 重大 变更 的 审批 程序 ; 

。 将 变更 的 细节 通知 给 所 有 相关 人 员 的 规程 ; 

。 及 时 中 止 不 成 功 的 变更 ,并 恢复 到 变更 前 的 操作 规程 的 审批 流程 。 

3. 安全 事件 管理 流程 
建立 安全 事件 管理 责任 制 ,制定 管理 规程 ,确保 对 安全 事件 快速 、 有 序 有 效 的 响应 和 处 
置 ,应 考虑 以 下 控制 措施 : 

@ 对 下 列 类 型 的 安全 事件 建立 响应 程序 : 

。 信息 系统 的 服务 能 力 丧 失 ; 
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。 拒绝 服务 ; 

。 不 完整 或 不 准确 的 业务 数据 导致 错误 ; 

。 用 户 信 息 泄露 。 

@@ 除 正常 (为 尽快 地 恢复 系统 或 服务 而 设计 ) 的 应 急 计划 以 外 ,管理 规程 还 应 包括 : 

。 分 析 和 识别 事件 原因 ; 

。 如 果 有 必要 ,设计 和 实施 补救 措施 以 防止 事件 的 再 次 发 生 ; 

。 收集 日 志 信息 和 类 似 证 据 ; 

。 与 受到 事件 影响 的 人 或 恢复 工作 涉及 的 人 进行 沟通 ; 

。 向 有 关 管 理 人 员 汇 报 情况 。 

@ 如 果 有 必要 ,收集 并 安全 地 保管 事件 线索 和 类 似 的 证 据 , 以 用 于 : 

。 分 析 事 件 发 生 的 内 部 原因 ; 

。 证 明 员工 或 第 三 方 违反 合同 、 违 反 法 规 要 求 或 由 此 引起 的 民事 或 刑事 诉讼 (如 由 于 滥 

用 计算 机 或 违反 数据 保护 法 ) 的 证 据 ; 

。 与 软件 和 服务 供应 商 商谈 赔偿 问题 。 

@ 对 受到 安全 事件 影响 的 设施 进行 恢复 以 及 对 系统 故障 进行 修复 的 行为 均 应 受到 正 
规 和 严格 的 控制 ,应 确保 : 

。 仅 允 许 经 授权 的 员工 访问 运行 中 的 系统 和 数据 ; 

。 详细 记录 所 采取 的 所 有 应 急行 动 ; 

。 应 急行 动 计划 应 报告 给 管理 层 ,并 按 程序 报批 。 

4. 职责 分 离 

职责 分 离 是 降低 意外 或 故意 滥用 系统 的 风险 的 一 种 有 效 方法 。 为 减 小 未 经 授权 的 修改 
或 滥用 信息 或 服务 的 机 会 ,适当 分 开 管理 或 操作 的 职责 或 责任 是 非常 必要 的 。 

小 规模 信息 系统 可 能 发 现 这 种 控制 方法 难以 实现 ,但 这 一 原则 还 是 应 该 以 适当 方式 ( 包 
括 简化 措施 ) 了 予以 坚持 。 如 难以 对 职责 进行 分 离 ,可 考虑 采取 相应 的 控制 措施 ,如 行为 监视 、 
审计 跟踪 和 管理 监督 。 在 这 种 情况 下 ,保持 安全 审计 的 独立 性 显得 格外 重要 。 

要 特别 提防 在 个 人 操作 范围 内 出 现 的 诈骗 或 监 守 自 盗 行 为 。 

5. 开发 、 测 试 和 操作 分 离 

将 开发 .测试 和 操作 设备 的 职责 进行 分 离 对 实现 系统 正常 运行 非常 重要 ,应 该 制定 软件 
从 开发 转 和 运行 状态 的 管理 规则 ,并 形成 文档 。 

开发 和 测试 行为 不 得 由 同一 个 (组 ) 人 来 执行 ,也 不 得 参与 对 同一 台 ( 组 ) 设 备 的 运行 管 
理 。 类 似 地 ,开发 和 操作 也 不 得 由 同一 个 (组 ) 人 来 执行 。 

当 开 发 和 测试 人 员 有 权 访 问 操作 系统 及 相关 信息 时 ,有 可 能 将 未 经 授权 和 未 经 测试 的 
程序 代码 或 运行 参数 引入 系统 中 ,造成 严重 后 果 , 轻 则 使 信息 系统 的 业务 流程 发 生变 更 , 重 
则 使 信息 系统 遭 到 不 可 预测 的 劫持 。 

如 果 开 发 和 测试 活动 共享 相同 的 计算 环境 ,可 能 造成 软件 和 信息 的 意外 改变 。 因 此 ,为 
降低 意外 改变 或 未 经 授权 的 访问 操作 软件 和 业务 数据 的 风险 ,应 将 开发 测试 和 操作 的 设备 
进行 分 离 。 通 常 考虑 以 下 控制 措施 : 

。 用 于 开发 的 和 操作 的 软件 应 该 运行 在 不 同 的 信息 处 理 设备 上 ,或 者 是 置 于 不 同 的 管 

理 域 或 目录 下 ; 


。 开 发 ,测试 和 运行 环境 必须 分 离 ; 
。 编译 程序 ,编辑 程序 和 其 他 的 系统 软件 在 不 需要 时 或 未 经 许可 不 得 擅自 访问 
。 对 操作 系统 和 测试 系统 应 使 用 不 同 的 登录 程序 ,操作 菜单 应 显示 适当 的 标识 信息 。 
6. 外 部 设备 管理 
通过 委 外 合同 在 组 织 场所 外 管理 的 信息 处 理 设备 可 能 存在 潜在 的 安全 隐患 ,如 数据 在 
承包 商 一 方 被 泄密 修改、 损失 或 遗失 。 应 该 提前 识别 这 些 风险 ,与 合同 方 商 定 适当 的 控制 
措施 ,并 将 权利 与 义务 写 人 合同 。 应 该 在 合同 中 提出 的 特殊 控制 措施 如 下 : 
标识 受 委托 保留 在 组 织 场 所 外 的 设备 中 的 敏感 或 关键 的 应 用 软件 ; 
受 委托 的 第 三 方 在 维护 信息 设备 需要 访问 业务 应 用 软件 时 ,必须 获得 设备 委托 人 的 
授权 ; 
要 求 受 委托 的 第 三 方 提供 可 持续 业务 计划 ; 
详细 陈述 信息 处 理 设备 的 安全 保护 标准 和 衡量 符合 性 的 约定 ; 
监督 所 有 相关 安全 活动 的 责任 分 配 程 序 ; 
报告 和 处 理 安全 事件 的 责任 和 流程 。 


6.6.2 系统 规划 和 验收 


对 系统 运行 所 需 的 容量 和 资源 进行 周密 规划 并 留 有 余 量 ,以 达到 将 系统 失效 的 风险 降 
到 最 低 的 目的 。 
对 未 来 容量 需求 要 在 计算 后 做 出 预测 ,以 降低 系统 超载 的 风险 。 
在 验收 和 投入 运行 前 ,对 新 的 系统 操作 规范 进行 文档 化 并 加 以 测试 。 
1. 容量 规划 
应 计算 所 需 的 容量 ,并 预测 未 来 的 容量 需求 ,确保 有 足够 的 处 理 和 存储 能 力 可 用 。 这 些 
预测 应 考虑 新 业务 和 系统 的 需求 ,以 及 组 织 在 信息 处 理 方面 当前 的 状态 和 未 来 的 发 展 趋势 。 
管理 者 应 使 用 这 些 信 息 来 识别 和 避免 可 能 对 系统 运行 或 服务 流程 造成 影响 的 潜在 瓶 
颈 ,并 设计 适当 的 补救 措施 。 
2. 系统 的 验收 
制定 信息 系统 升级 和 新 版 本 的 验收 标准 ,并 在 验收 前 对 系统 进行 适当 的 测试 。 管 理 者 
应 确保 新 系统 的 验收 要 求 和 标准 被 清晰 地 定义 、 文 档 化 并 经 测试 。 验 收 应 考虑 以 下 指标 : 
。 系统 性 能 和 计算 容量 满足 运行 要 求 ; 
系统 或 数据 的 恢复 和 重启 程序 ,以 及 应 急 计划 ; 
测试 日 常 的 操作 程序 以 达到 规定 的 要 求 ; 
实施 已 通过 审批 的 安全 控制 措施 ; 
编写 满足 规范 要 求 的 操作 说 明 书 ; 
业务 持续 性 计划 的 安排 ; 
新 信息 系统 的 安装 不 会 给 现 有 信息 系统 带 来 负面 影响 的 论证 资料 ,特别 是 在 处 理 量 
达 高 峰 时 ; 
已 经 考虑 了 新 信息 系统 对 组 织 的 整体 安全 产生 的 影响 ; 
对 操作 和 使 用 新 信息 系统 的 各 类 人 员 进 行 培训 的 计划 。 
对 于 新 系统 中 的 技术 或 设备 开发 工作 ,应 该 在 开发 过 程 的 所 有 阶段 咨询 系统 管理 员 和 
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操作 员 ,以 确保 所 提出 的 系统 设计 方案 的 可 操作 性 和 运行 效率 ,应 该 实施 适当 的 测试 来 确认 
所 有 的 验收 指标 已 被 满足 。 


6.6.3 脆弱 性 和 补丁 


补丁 程序 对 减低 或 消除 信息 系统 存在 的 脆弱 性 (点 ) 是 必 不 可 少 的 。 然 而 ,人 们 最 常 犯 
的 错误 是 没有 或 不 及 时 为 操作 系统 和 应 用 软件 打 补 丁 。 新 的 补丁 程序 可 能 不 断 发 布 , 应 通 
过 正当 渠道 获得 补丁 程序 。 

脆弱 性 是 信息 系统 资源 ( 软 /硬件 形式 的 子 系统 .组 器 件 ) 中 的 缺陷 或 弱点 , 它 可 能 被 敌 
对 或 恶意 实体 利用 ,从 而 在 一 台 计算 机 上 获得 比 被 授权 更 多 的 访问 权限 。 当 然 , 并 不 是 所 有 
的 脆弱 性 都 有 可 用 的 补丁 程序 来 修补 ; 系统 管理 员 必 须 意识 到 脆弱 性 的 风险 和 相应 的 补丁 
程序 对 安全 运行 的 作用 。 在 无 法 通过 补丁 程序 修补 脆弱 性 时 ,可 通过 其 他 方法 (如 防火 墙 、 
路 由 控制 表 等 ) 减 轻 脆 弱 性 的 影响 。 

为 了 帮助 识别 与 安装 日 益 增多 的 补丁 程序 ,建议 组 织 制订 一 个 补丁 分 发 使 用 策略 ， 
对 使 用 补丁 程序 进行 规范 管理 ,可 以 建立 一 个 识别 和 安装 补丁 和 脆弱 性 机 构 (Patch and 
Vulnerability Group,PVG) ,在 组 织 内 识别 和 分 发 补丁 。 其 职责 包括 : 

。 建立 一 个 组 织 的 信息 系统 可 能 存在 的 脆弱 性 的 清单 ; 
识别 新 近 发 现 的 脆弱 性 和 相应 的 安全 补丁 程序 ; 

。 建立 一 个 补丁 库 ; 

。 安装 补丁 程序 前 ,对 其 进行 功能 性 和 安全 性 测试 ; 
。 为 本 地 管理 员 分 发 脆弱 性 信息 和 补丁 程序 ; 

。 通过 网 络 安装 补丁 后 ,再 进行 主机 脆弱 性 扫描 ; 
培训 系统 管理 员 , 学 会 利用 脆弱 性 和 补丁 数据 库 ; 

。 (适当 时 ) 部 署 补丁 程序 自动 分 发 和 安装 模块 。 

即使 组 织 建立 了 PVG, 系 统管 理 员 为 他 们 管理 的 系统 打 补 丁 仍 是 必要 的 。 每 个 系统 管 
理 员 需 要 : 

。 应 用 已 被 PVG 识别 的 补丁 ; 

。 在 特定 的 目标 系统 中 测试 补丁 ; 

。 测试 与 软件 有 关 的 没有 被 PVG 识别 的 补丁 和 脆弱 性 。 


6.6.4 防范 恶意 软件 


需要 有 预防 措施 来 检测 和 防止 恶意 软件 的 植 和 人 或 渗透 。 

软件 和 信息 处 理 设备 易 受 渗入 的 恶意 软件 的 攻击 ,包括 计算 机 病毒 、 网 络 蠕虫 和 木马 程 
序 等 。 用 户 应 该 意识 到 恶意 软件 的 危害 ,在 需要 的 地 方 管理 人 员 应 该 采取 特殊 的 控制 措施 
来 检测 和 防止 此 类 恶意 软件 的 植 入 或 渗入 ,特别 是 有 必要 采取 预防 措施 来 检测 和 防止 个 人 
计算 机 上 的 计算 机 病毒 。 

在 实施 防范 恶意 软件 的 监测 和 预防 措施 的 同时 ,必须 进行 适当 的 用 户 安全 意识 培训 。 
防范 恶意 软件 必须 强调 安全 意识 ,实施 适当 的 系统 访问 控制 和 变更 管理 控制 。 一 般 考虑 以 
下 恶意 软件 防范 和 控制 措施 : 

。 遵 守 软 件 许可 协议 并 ,禁止 使 用 未 经 授权 的 软件 或 正版 软件 的 复制 品 ; 
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防范 通过 外 部 网 络 或 从 任何 其 他 介质 上 下 载 文件 和 软件 而 引入 恶意 软件 的 风险 ,为 
此 制定 相应 的 安全 措施 ; 

安装 和 定期 更 新 防 病毒 和 木马 程序 的 检测 和 杀 灭 软件 ,对 计算 机 和 存储 介质 进行 病 
毒 和 木马 扫描 ; 

定期 检查 支持 关键 业务 过 程 的 系统 的 软件 和 数据 内 容 , 对 出 现 的 任何 未 经 批准 的 文 
件 或 未 经 授权 的 修改 应 进行 正式 的 调查 ; 

对 于 存储 介质 上 来 源 不 明 或 来 源 未 经 授权 的 文件 或 者 从 不 可 靠 的 网 络 上 下 载 的 文 
件 在 使 用 之 前 进行 病毒 和 木马 检查 ; 

对 任何 电子 邮件 的 附件 和 从 网 站 下 载 的 内 容 在 打开 之 前 进行 恶意 软件 检查 。 此 类 
检查 一 般 应 在 信息 系统 和 外 网 之 间 的 隔离 区 进行 ,如 在 电子 邮件 服务 器 、 脱 机 的 桌 
面 计算 机 或 进入 组 织 的 网 络 人 口 处 ; 

定义 防范 病毒 和 木马 的 管理 程序 和 责任 ,加 强 用 户 培训 ,及 时 报告 发 现 的 病毒 和 木 
马 程 序 , 并 从 病毒 和 木马 程序 的 侵害 中 恢复 ; 

制定 受到 病毒 和 木马 攻击 后 的 恢复 计划 ,包括 所 有 必需 的 数据 和 软件 的 备份 以 及 对 
攻击 的 恢复 安排 ; 

建立 验证 与 恶意 软件 相关 的 信息 的 规程 ,确保 告警 公告 信息 的 准确 性 和 可 用 性 。 管 
理 者 应 确保 资料 来 源 是 可 靠 的 ,如 国家 授权 的 预警 中 心 .权威 杂志 、 可 信赖 的 网 站 或 
防毒 软件 供应 商 , 以 区 分 出 恶作剧 的 虚假 告警 和 真正 的 病毒 来 袭 。 管 理 人 员 应 能 识 
别 恶作剧 告警 ,并 在 收 到 恶作剧 告警 信息 时 进行 适当 处 理 。 

这 些 控制 措施 对 于 支持 大 多 数 工 作 站 .个 人 终端 和 网 络 服务 器 的 防范 工作 是 有 效 的 。 


6.6.5 内 务 处 理 


建立 日 常 性 备份 制度 对 数据 和 系统 或 系统 组 件 进行 备份 ; 制定 快速 恢复 方案 ,并 组 织 


备份 和 快速 恢复 的 演练 ; 对 所 有 操作 事件 和 通信 事件 进行 跟踪 性 的 日 志 记 录 ; 在 条 件 许 可 
时 ,对 信息 处 理 设备 和 运行 环境 进行 视频 监控 和 人 工 巡 逻 , 保 持 信息 处 理 设备 .通信 环境 的 
完整 性 和 可 用 性 。 


1. 数据 (信息 ) 备 份 
业务 数据 (信息 )、 应 用 软件 和 系统 运行 所 需 的 管理 、 控 制 信息 都 应 该 定期 备份 ,应 该 提 


供 足 够 的 备份 设备 ,以 保证 所 有 支持 灾难 或 故障 后 迅速 恢复 必需 的 数据 完整 可 用 。 不 同系 
统 的 备份 安排 应 该 定期 进行 测试 ,以 确保 可 以 满足 业务 持续 性 计划 的 要 求 。 在 备份 中 应 考 
虑 以 下 控制 措施 : 


。 为 进行 系统 恢复 需要 备份 一 个 最 小 集 软 /硬件 系统 ,准确 和 完整 的 备份 过 程 的 记录 
以 及 文档 化 的 恢复 流程 应 该 同时 保存 在 3 个 不 同 的 地 点 ,以 避免 由 于 主场 所 发 生 灾 
害 所 带 来 的 备份 信息 丢失 或 损失 ,对 重要 的 业务 数据 应 用 软件 和 系统 性 数据 的 备 
份 地 点 应 远离 信息 系统 所 属 建筑 物 ; 

。 对 备份 信息 的 物理 和 环境 的 保护 级 别 应 和 主场 所 保护 的 等 级 标准 相 一 致 ,' 对 主场 所 
实施 的 控制 措施 适用 于 备份 的 场所 ; 

。 对 备份 介质 进行 定期 的 测试 ,以 确保 紧急 恢复 时 是 可 用 的 ; 

。 备份 流程 应 定期 进行 检查 和 测试 ,确认 其 有 效 性 ,以 确保 恢复 工作 可 以 在 规定 的 时 
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间 内 完成 ; 

。 确定 信息 备份 的 保留 期 和 备份 更 新 周期 ,对 需要 永久 保存 的 文档 进行 定期 的 更 新 性 
复制 。 

2. 系统 操作 日 志 

保留 系统 操作 人 员 行 为 日 志 , 日 志 应 包括 以 下 内 容 : 

。 系统 启动 和 关机 时 间 ; 

。 系统 错误 和 所 采取 的 修正 行为 ; 

。 对 数据 文件 和 计算 机 输出 的 处 理 情况 ; 

。 操作 人 员 信 息 ; 

。 对 操作 人 员 的 日 志 应 按 规范 进行 定期 的 ,独立 的 检查 。 

3. 系统 运行 日 志 

对 信息 系统 内 的 所 有 操作 事件 和 通信 事件 进行 跟踪 式 记录 ,在 日 志 中 应 包括 以 下 内 容 : 

。 所 有 系统 登录 事件 ,尤其 是 多 次 尝试 登录 和 登录 失效 事件 ; 

。 所 有 通信 事件 ,尤其 是 违规 或 外 连通 信和 事件 。 


6.6.6 网 络 管理 


网 络 管理 的 目的 是 维持 对 网 络 中 的 信息 和 支持 信息 处 理 的 设备 .基础 设施 的 机 密 性 、 完 
整 性 和 可 用 性 。 对 跨 组 织 边 界 的 网 络 的 安全 管理 需要 格外 注意 ; 对 于 通过 公共 网 络 的 敏感 
信息 要 有 额外 的 保护 和 控制 措施 。 

由 网 络 管理 员 实施 网 络 控制 ,确保 网 络 中 数据 的 安全 ,并 防止 网 络 服务 受到 未 授权 的 访 
问 ,特别 需要 考虑 以 下 控制 措施 : 

”将 网 络 配置 操作 和 计算 机 业务 操作 的 职责 予以 分 离 ; 

。 建立 对 远程 设备 (包括 员工 或 用 户 操作 区 的 设备 ) 的 管理 责任 和 操作 流程 ; 

。 采 取 特 殊 的 控制 措施 ,以 确保 通过 公共 网 络 传 输 数 据 的 机 密 性 和 完整 性 ,并 保护 与 

外 网 连接 的 系统 ; 
。 各 种 网 络 管理 行为 要 紧密 协作 ,以 优化 所 提供 的 服务 ,并 确保 对 信息 处 理 基 础 设施 
的 控制 措施 得 以 始终 保持 。 


6.6.7 信息 承载 与 流转 过 程 的 安全 管理 


对 承载 信息 的 存储 介质 应 基于 物理 措施 实行 严格 管理 ,应 建立 合适 的 操作 规程 来 保护 
文档 存储 介质 、 计 算 机 介质 (磁带 、 软 盘 、 盒 式 磁带 `USB 盘 .光盘 等 ) 的 输入 /输出 数据 和 系 
统 文件 免 受 泄露 .损坏 ,滥用 或 盗用 ,以 及 未 授权 的 访问 。 同 时 ,信息 在 流转 过 程 中 的 每 个 环 
节 也 应 有 适当 的 安全 保护 措施 ,避免 遭 到 未 授权 的 泄露 .修改 和 论 用 。 

1. 移动 存储 介质 的 管理 

应 有 规程 来 管理 可 移动 的 计算 机 介质 ,如 磁带 、 软 盘 、 盒 式 磁 带 `USB 盘 、 光 盘 和 打印 / 
书写 的 文件 ,应 考虑 以 下 控制 措施 : 

。 介质 上 的 数据 和 信息 如 不 再 需要 ,应 进行 不 可 恢复 的 删除 ; 

。 对 从 组 织 中 换 下 来 的 任何 存储 介质 都 应 妥善 保存 ,并 实行 审核 跟踪 ; 

。 所 有 的 存储 介质 应 该 按照 制造 商 的 使 用 指南 保存 在 安全 的 环境 中 。 


所 有 按 规程 处 理 的 行为 的 授权 情况 都 要 记录 在 案 。 

2. 介质 的 处 置 

决定 不 再 使 用 的 存储 介质 应 当 按 规程 对 其 进行 安全 处 理 ( 包 括 使 介质 上 的 敏感 信息 不 
可 恢复 )。 巾 于 敏感 信息 可 能 通过 对 介质 的 草率 处 理 而 泄露 ,因此 应 当 建 立 规范 的 介质 安全 
处 理 流 程 将 此 类 风险 降 至 最 低 ,应 当 考 虑 下 面 的 控制 措施 : 

@ 对 载 有 敏感 信息 的 介质 应 进行 安全 .妥善 的 保存 ,如 决定 不 再 使 用 , 则 应 采用 安全 
的 方式 进行 处 置 ,如 焚烧 或 粉碎 ,或 在 法 律 允 许 下 清空 数据 后 供 本 组 织 的 公共 数据 存储 
使 用 ; 

@ 需要 安全 处 置 的 一 些 与 介质 ( 纸 质 的 和 电子 的 ) 有 关 的 物品 如 下 : 

。 书面 文件 ; 
录音 或 其 他 形式 的 记录 ; 
。 复 写 纸 ; 
输出 报告 ; 
。 一 次 性 打印 色 带 ; 
。 磁带 ; 
。 便携 式 磁 盘 或 磁带 ; 
。 光学 存储 介质 ; 
。 规程 列表 ; 
。 测试 的 书面 或 电子 数据 ; 
系统 文档 ; 等 等 。 

@ 把 所 有 的 介质 收集 起 来 集中 进行 安全 处 理 比 试图 分 离 出 敏感 的 介质 进行 单独 处 理 
可 能 更 加 容易 ; 

@ 选择 一 个 有 足够 控制 措施 和 经 验 的 机 构 对 文件 .设备 和 介质 进行 收购 和 处 理 ; 

@ 对 敏感 物品 的 处 理 要 进行 记录 ,以 便 日 后 复核 。 

将 大 量 拟 废弃 介质 积聚 在 一 起 等 候 集中 处 理 时 ,应 当 特 别 注意 “积聚 效应 ”, 即 大 量 的 信 
息 积聚 在 一 起 可 能 比 少量 信息 更 敏感 。 

3. 信息 流转 的 安全 控制 

应 当 建立 信息 流转 过 程 的 安全 管理 措施 ,以 便 保 护 这 些 信息 在 流转 的 任何 环节 免 于 未 
授权 的 泄露 或 率 用 ; 制定 必要 的 管理 规范 ,对 含有 信息 的 文件 .计算 机 系统 、 网 络 .介质 、 移 
动 计算 设备 、 移 动 通信 设备 .文本 .电子 邮件 .语音 邮件 、 多 媒体 .邮政 服务 .传真 机 和 其 他 敏 
感 物品 的 使 用 进行 控制 ,应 当 考 虑 下 面 的 管理 控制 措施 : 

。 对 所 有 介质 进行 标记 ; 
对 访问 介质 的 行为 进行 限制 ,以 识别 未 授权 的 人 员 ; 
。 正式 记录 数据 的 合法 签收 和 人; 
。 对 输出 数据 的 安全 保护 措施 与 其 敏感 性 的 保护 等 级 相符 合 ; 
。 把 介质 存放 在 符合 相应 的 安全 保护 等 级 的 环境 中 ; 
。 尽量 减少 数据 的 分 发 ,并 采取 措施 防范 滥 发 数据 ; 
。 对 所 有 的 数据 副本 进行 清晰 标记 ,以 警示 合法 接收 和 人员 对 其 进行 安全 保护 ; 
。 定期 检查 数据 分 发 清单 和 合法 收 件 人 名 单 。 


158 
Be 


4. 系统 文档 的 安全 

系统 文档 一 般 都 载 有 系统 性 的 敏感 信息 ,如 对 应 用 程序 、 业 务 流程 数据 结构 .授权 过 程 
的 描述 ,应 当 考 虑 下 面 的 控制 措施 ,以 保护 系统 文档 免 受 未 授权 的 访问 : 

。 系统 文档 应 当 按 规定 保存 在 具有 物理 保护 措施 的 安全 环境 中 ; 

。 对 系统 文档 的 访问 必须 按照 规定 经 过 相应 的 特别 批准 ; 

。 保留 在 公共 网 络 上 的 或 通过 云端 提供 存储 和 应 用 的 系统 文档 应 当 加 密 保 护 。 


6.6.8 信息 和 软件 的 交换 


在 信息 系统 之 间 交 换 的 信息 和 软件 应 该 防止 丢失 、 修 改 或 滥用 。 在 组 织 之 间 交 换 信息 
和 软件 ,首先 要 对 交换 事宜 本 身 的 必要 性 和 由 此 存在 的 安全 隐患 进行 论证 ,然后 对 交换 过 程 
中 的 各 个 环节 采取 安全 措施 加 以 控制 ,并 对 数据 传输 过 程 进行 全 程 保护 。 

6.6.8.1 信息 和 软件 交换 协议 

在 信息 系统 之 间 进 行 信息 和 软件 的 交换 (通过 电子 的 或 人 工 的 方式 ) 必 须 订 立 协议 ,这 
些 协 议 应 该 是 规范 的 ,必要 时 ,包括 由 第 三 方 保存 软件 的 协议 。 关 于 安全 交换 的 协议 应 当 包 
括 以 下 内 容 : 

。 对 数据 发 送 、 传 输 和 接收 3 个 过 程 进行 控制 的 管理 职责 ; 

。 确定 发 件 人 和 收 件 人 的 安全 责任 ,将 发 送 、 传 输 和 接收 流程 分 发 到 发 送 人 和 接收 人 ， 

。 数据 打包 (包括 数据 封装 和 人 工 包装 ) 和 传输 的 最 低 安全 保护 要 求 ; 

。 约定 信使 的 身份 证 明 方 法 ; 

。 规定 丢失 数据 的 责任 ; 

。 对 人 敏感 或 关键 的 信息 使 用 协商 一 致 的 标识 系统 ,确保 对 标识 的 含义 的 一 致 性 理解 ， 

使 信息 得 到 适当 的 保护 ; 

。 确认 信息 和 软件 所 属 权 及 数据 保护 的 责任 ,以 及 软件 版 权 的 合法 性 和 类 似 考 虑 ; 

。 访问 信息 和 软件 的 技术 规程 。 

6.6.8.2 传输 过 程 的 安全 

应 当 采 用 下 列 控制 措施 来 保护 信息 在 两 地 传输 过 程 中 的 安全 : 
使 用 可 靠 的 数据 传输 媒体 (包括 传输 协议 和 线 缆 ) 或 信使 传输 数据 ,并 核查 传输 媒体 
和 信使 的 可 信 性 和 可 控 性 ; 
传送 信息 时 应 当 使 用 安全 的 协议 封装 或 坚固 的 物理 包装 ,以 保护 信息 和 信息 承载 媒 
体 免 受 传输 过 程 中 可 能 发 生 的 逻辑 的 或 物理 的 损坏 ; 必要 时 ,应 当 采 用 特殊 的 控制 
措施 ,以 保护 敏感 信息 免 受 未 授权 的 泄露 或 修改 ; 
对 于 物理 性 包装 使 用 上 锁 的 或 加 封条 的 包装 箱 ; 
传输 方法 包括 隧道 传输 和 加 密 传输 、 机 要 邮件 渠道 传输 和 人 工 专 弟 ; 
使 用 防 拆 包 的 技术 保护 措施 (例如 完整 性 保护 技术 ) 和 物理 保护 措施 (例如 密封 箱 外 
加 密封 条 ) ; 
在 利用 网 络 传 输 的 情况 下 ,可 将 发 送 的 信息 分 割 成 若干 份 ,并 通过 不 同 的 路 线 传递 ; 
为 防范 信息 内 容 在 传输 过 程 中 被 泄露 ,可 使 用 数字 签名 和 加 密 技术 保护 。 


6.6.8.3 电子 邮件 交换 的 安全 
电子 邮件 (E-Mail) 是 目前 通过 因特网 (或 在 计算 机 网 络 之 间 ) 交 换 信息 的 最 大 众 化 的 网 
络 应 用 系统 之 一 。 
电子 邮件 服务 器 是 最 容易 被 攻击 的 目标 之 一 。 因 为 计算 机 和 网 络 化 技术 支持 的 电子 邮 
件 都 运行 于 因特网 传输 协议 的 基础 上 ,为 攻击 者 开发 攻击 模式 提供 了 广泛 的 学 习 和 演练 环 
境 , 所 以 电子 邮件 服务 器 、 客 户 机 和 支持 它们 的 网 络 基 础 设施 必须 得 到 保护 。 对 电子 邮件 的 
安全 问题 可 列举 如 下 : 
。 电 子 邮 件 服务 器 应 用 程序 中 的 缺陷 可 能 被 利用 来 攻击 电子 邮件 系统 ; 
。 拒绝 服务 攻击 可 以 直接 针对 邮件 服务 器 或 支持 它 的 网 络 基础 设施 ,以 拒绝 或 阻碍 用 
户 有 效 地 使 用 邮件 服务 器 ; 
。 电子 邮件 服务 器 上 的 敏感 信息 可 能 被 来 自 邮 件 系统 内 部 或 外 部 人 员 未 授权 访问 或 
修改 ; 
。 在 电子 邮件 服务 器 和 客户 机 之 间 未 加 密 传 送 的 敏感 信息 可 能 被 侦 听 或 拦截 ; 
电子 邮件 中 的 信息 在 发 送 者 和 接收 者 之 间 的 某 个 转发 点 可 能 被 截获 或 修改 ; 
。 恶意 实体 可 能 在 组 织 的 计算 机 网 络 的 其 他 地 方 通过 对 电子 邮件 服务 器 的 成 功 攻击 
获得 对 资源 的 未 授权 访问 ,例如 一 旦 电子 邮件 服务 器 被 攻击 者 登录 成 功 ,攻击 者 就 
能 够 检索 到 用 户 的 口令 ,这 可 能 使 攻击 者 获得 其 他 主机 登录 邮件 系统 的 权限 ; 
恶意 实体 对 一 个 电子 邮件 服务 器 主机 成 功 攻击 ,进而 利用 电子 邮件 服务 器 作为 跳板 
继续 攻击 其 他 组 织 的 网 络 系统 ,这 样 就 隐藏 了 入 侵 者 的 身份 ,并 可 能 使 电子 邮件 所 
属 组 织 承担 攻击 的 责任 ; 
电子 邮件 服务 器 错误 的 配置 可 能 被 恶意 实体 利用 ,在 电子 邮件 中 插入 广告 或 植 人 木 
马 程序 ; 
病毒 和 其 他 类 型 的 恶意 代码 可 能 寄生 于 电子 邮件 ,并 利用 电子 邮件 进行 传播 ; 
用 户 可 能 由 于 政 忽 将 电子 邮件 发 送 给 不 应 接收 该 邮件 的 人 ; 
用 户 可 能 通过 E-Mail 发 送 不 合适 的 、 私 密 的 或 敏感 的 信息 ,造成 泄露 秘密 事件 或 引 
起 法 律 诉讼 。 
下 列 措施 可 用 来 维护 电子 邮件 服务 器 的 安全 。 
1. 为 电子 邮件 服务 器 制定 安全 保护 策略 
从 电子 邮件 服务 器 的 设计 、 技 术 开 发 到 运 维 的 各 个 阶段 重视 对 从 业 人 员 的 职业 素质 和 
技术 素质 的 考察 .培训 和 监管 ,因此 需要 考虑 以 下 措施 : 
。 在 选拔 电子 邮件 服务 器 从 业 人 员 ( 如 系统 和 邮件 服务 器 管理 员 、 网 络 管理 员 和 系统 
维护 人 员 )? 时 ,必须 专门 或 在 聘用 合同 条 款 中 明确 规定 从 业 人 员 必 须 遵守 职业 道德 ， 
约定 其 为 组 织 、 用 户 保密 的 事项 ,并 确认 违反 规定 和 约定 事项 必须 承担 的 民事 或 刑 
事 责 任 ; 
。 审核 受聘 人 员 必 备 的 技能 和 能 力 资质 ; 
。 强化 定期 的 员工 在 岗 培训 。 
2. 对 操作 和 维护 邮件 服务 器 进行 适当 的 安全 管理 或 控制 
适当 的 安全 管理 和 控制 措施 对 操作 和 维护 邮件 服务 器 非常 重要 ,管理 和 控制 措施 如 下 : 
。 制定 严格 规范 的 邮件 服务 器 操作 和 维护 规程 ; 
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”对 配置 /变更 电子 邮件 服务 器 运行 参数 的 操作 实行 权限 分 割 ; 

。 对 邮件 服务 器 的 重大 操作 和 维修 事项 的 权限 实行 分 割 ; 

。 制定 邮件 服务 器 备份 和 灾难 恢复 计划 。 

3. 邮件 服务 器 操作 系统 的 配置 和 管理 必须 满足 组 织 的 安全 需求 

确保 邮件 服务 器 安全 的 基础 性 措施 之 一 是 要 保证 运行 于 邮件 服务 器 底层 的 操作 系统 的 
安全 。 如 果 邮 件 服务 器 的 操作 系统 关键 性 参数 配置 适当 ,可 避免 很 多 潜在 的 安全 问题 。 一 
般 地 ,邮件 服务 器 供应 商 在 交付 时 会 设置 一 套 硬件 和 软件 初始 参数 作为 服务 器 的 默认 配置 ， 
这 些 参数 强调 的 是 功能 性 能 和 易 使 用 性 ,而 很 少 从 安全 角度 考虑 。 因 为 邮件 供应 商 并 不 关 
注 也 不 了 解 各 个 组 织 的 具体 安全 需求 。 因 此 ,组 织 必须 在 邮件 服务 器 投入 正常 运营 前 ,对 其 
进行 重新 配置 ,以 反映 组 织 的 安全 需求 并 兼顾 性 能 和 易 操 作 性 。 为 此 应 注意 以 下 措施 : 

。 对 确认 的 邮件 服务 器 操作 系统 的 漏洞 安装 补丁 程序 ; 

。 删除 或 禁止 不 必要 的 服务 、 应 用 和 脚本 内 容 ; 

，。 配置 操作 系统 用 户 身份 鉴别 功能 ; 

。 配置 资源 控制 ; 

。 对 操作 系统 进行 安全 测试 和 评估 。 

4. 实施 加 密 技术 以 保护 用 户 鉴 别 信息 和 邮件 数据 

大 多 数 标准 邮件 协议 对 未 加 密 用 户 的 鉴别 和 发 送 邮件 的 明文 数据 是 默认 的 。 明 文 发 送 
数据 使 攻击 者 很 容易 窃取 用 户 的 账号 或 拦截 和 改变 未 加 密 的 邮件 。 大 多 数组 织 需 要 对 用 户 
的 鉴别 会 话 内 容 进行 加 密 , 即 使 它们 不 用 来 加 密 邮件 数据 本 身 。 现 在 很 多 标准 和 专 有 的 邮 
件 协 议 支 持 对 用 户 鉴别 的 会 话 信息 进行 加 密 。 

对 邮件 数据 进行 加 密 的 问题 要 大 一 些 , 主 要 在 性 能 上 。 因 为 加 密 电 子 邮 件 对 用 户 的 计 
算 机 和 组 织 的 网 络 基础 设施 的 运算 和 传输 资源 消耗 很 大 。 同 时 ,还 要 考虑 加 入 病毒 扫描 和 
邮件 内 容 过 滤 ,这 就 需要 从 管理 上 对 安全 和 效率 进行 平衡 。 但 对 很 多 组 织 而 言 ,邮件 加 密 的 
好 处 远 远 超过 为 此 所 付出 的 运行 性 能 代价 。 

5. 保护 网 络 基 础 安全 设施 以 保护 邮件 服务 器 

网 络 基础 安全 设施 (如 防火 墙 、. 路 由 器 ,入 侵 检测 系统 ) 对 邮件 服务 器 的 安全 保护 起 着 重 
要 的 作用 。 在 大 多 数 配置 中 ,网 络 基础 安全 设施 将 是 因特网 和 邮件 服务 器 之 间 的 第 一 道 
防线 。 

6. 维护 邮件 服务 器 的 安全 

维护 邮件 服务 器 的 安全 是 一 个 不 间断 的 过 程 。 因 此 ,在 日 常 维护 的 基础 上 对 邮件 服务 
器 进行 安全 管理 是 邮件 服务 器 安全 的 重要 方面 。 维 护 邮件 服务 器 的 安全 通常 包括 以 下 
措施 : 


采集 和 分 析 邮 件 服务 器 的 运行 记录 文件 ; 

经 常 性 地 备份 数据 ; 

安装 恶意 代码 (如 病毒 .蠕虫 ,特洛伊 木马 等 ) 检 查 系 统 ; 

定期 检测 服务 器 脆弱 性 并 及 时 打 补丁 ,必要 时 对 邮件 服务 软件 进行 更 新 或 升级 ; 

。 监控 与 审计 。 

7. 电子 邮件 内 容 过 滤 

电子 邮件 内 容 过 滤 是 根据 给 定 的 关键 词 、 特 征 词 ( 汇 ) 或 短语 对 邮件 内 容 进 行 判断 以 决 


定 是 否 接收 或 发 送 。 它 只 是 根据 对 文本 文件 进行 字符 一 级 匹配 或 相似 度 计算 的 结果 来 进行 
判断 ,而 不 在 代码 一 级 寻求 过 滤 对 象 , 因 此 不 可 能 检测 出 恶意 代码 。 通 常 ,内 容 过 滤 和 对 病 
毒 等 恶意 代码 的 扫描 操作 放 在 网 络 非 军事 区 的 同一 个 服务 器 中 进行 。 
一 般 的 邮件 内 容 过 滤 的 判断 依据 是 关键 词 ,特征 词 ( 汇 ) 或 短语 出 现 的 频 度 , 以 此 基础 进 
行 统计 分 析 很 难 对 邮件 内 容 的 语义 或 语 境 所 表达 的 意义 作出 判断 ,因此 目前 的 邮件 内 容 过 
滤 结 果 都 比较 粗糙 。 尽 管 如 此 ,对 一 些 包含 敏感 信息 或 描述 敏感 事件 的 邮件 进行 审查 时 ,这 
种 方法 在 特定 时 段 内 或 针对 特定 邮件 收发 群体 还 是 有 用 的 。 如 对 邮件 内 容 的 过 滤 有 特别 要 
求 , 则 应 在 上 述 过 滤 结果 的 基础 上 辅 以 人 工 判断 。 
6.6.8.4 ”其 他 形式 信息 交换 中 的 完整 性 和 真实 性 
对 通过 语音 .传真 和 视频 通信 设备 等 进行 信息 交换 的 过 程 也 要 加 以 保护 ,保护 的 基本 目 
的 是 防范 信息 在 交换 过 程 中 被 修改 ,以 维持 信息 的 完整 性 和 真实 性 ; 有 机 密 性 要 求 的 ,需要 
防 窃听 ; 在 需要 防止 未 授权 收发 时 ,还 要 保护 其 来 源 的 真实 性 和 可 用 性 ,等 等 。 如 缺乏 安全 
意识 和 必要 的 安全 措施 ,使 用 这 些 设备 可 能 导致 信息 被 泄露 .被 修改 .被 破坏 或 错 发 错 收 , 例 
如 ,在 公共 场合 打 移动 电话 可 能 将 通话 内 容 泄露 ,使 用 语音 答 录 机 时 可 能 被 偷 听 , 对 拨号 语 
音 邮 件 系统 的 未 授权 访问 或 使 用 传真 机 设备 会 偶然 地 将 传真 错 发 给 别人 等 。 
应 当 制定 清晰 的 控制 策略 规定 员工 在 使 用 语音 、 传 真 和 视频 通信 设备 时 应 遵守 的 流程 
包括 以 下 内 容 : 
。 提醒 员工 不 在 公共 场所 使 用 电话 谈论 敏感 信息 ,以 避免 信息 被 偷 听 或 截获 ; 
。 提醒 员工 不 得 在 公共 场所 开放 的 办 公 室 或 墙壁 较 海 的 房间 内 谈论 敏感 话题 ， 
。 不 得 在 语音 答 录 机 上 留言 ,因为 这 些 设备 可 能 被 未 授权 人 员 资 听 , 或 由 于 拨号 错误 
而 被 录制 到 不 该 接收 的 地 方 ; 

。 提 醒 员工 使 用 传真 机 可 能 导致 的 风险 ,例如 ; 
一 传真 机 内 存 信息 被 未 授权 访问 ; 
一 误 将 传真 件 发 送 到 其 他 号 码 上 ,等 等 。 


6.7 访问 控制 


对 所 有 信息 系统 和 信息 服务 最 基本 和 最 有 效 的 安全 控制 措施 是 对 信息 系统 资产 ( 源 ) 进 
行 访问 控制 ,这 类 措施 应 从 访问 主体 、 访 问 客体 、 访 问 路径 和 访问 环境 等 角度 考虑 。 


6.7.1 访问 控制 的 策略 


应 对 访问 控制 的 需求 进行 定义 并 形成 文档 ,对 于 每 一 个 用 户 或 用 户 组 的 访问 控制 规则 
和 访问 权限 都 应 在 访问 控制 策略 文件 中 明确 说 明 , 对 用 户 和 服务 提供 商 访问 的 需求 必须 根 
据 业 务 流程 进行 配置 。 

制定 访问 控制 规则 应 考虑 以 下 内 容 : 

。 不 同业 务 流 程 的 安全 控制 需求 ; 

”识别 要 特别 保护 的 所 有 和 业务 应 用 相关 的 信息 ; 

。 对 信息 实行 分 类 保护 的 规则 需求 ; 

。 对 于 被 访问 的 数据 和 服务 进行 保护 的 有 关 法 规 依据 和 合同 约定 ; 
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。 特殊 用 户 访问 公共 业务 范畴 信息 的 安全 控制 规程 ; 

。 在 分 布 式 和 网 络 化 的 环境 中 通过 连接 进行 访问 的 权限 管理 。 

制定 访问 控制 规则 还 要 进一步 考虑 以 下 内 容 : 

。 区 分 具备 一 般 条 件 即 可 执行 访问 的 规则 和 需要 附加 条 件 才 执 行 访问 的 规则 ; 

。 一 般 情况 下 ,控制 规则 应 执行 “未 经 允许 都 是 禁止 的 "(默认 禁止 ) 的 原则 ,而 不 是 执 

行 “未 经 禁止 都 是 允许 的 "(默认 允许 ) 的 原则 ; 

信息 标识 (包括 系统 自动 标识 和 由 管理 员 标识 ) 的 变化 引起 访问 控制 判断 条 件 的 

变化 ; 

。 信息 系统 自动 授予 和 管理 人 员 授 予 引起 的 用 户 权限 变化 导致 访问 控制 判断 条 件 的 
变化 。 


6.7.2 用 户 访问 的 管理 


制定 正式 的 控制 规程 对 用 户 访问 信息 系统 和 信息 服务 的 权限 分 配 进行 管理 ,以 防止 对 
信息 系统 和 信息 服务 的 未 授权 访问 和 对 用 户 访 问 权限 的 滥 配 或 错 配 。 该 规程 应 该 涵盖 用 户 
访问 活动 期 的 各 个 阶段 ,包括 从 新 用 户 的 注册 开始 到 最 后 不 再 需要 访问 信息 系统 和 信息 服 
务 时 的 注销 等 各 个 阶段 。 在 需要 分 配 专 有 的 访问 权限 或 允许 用 户 越过 系统 控制 进行 访问 时 
应 进行 特别 的 管理 。 

1. 用 户 注 册 

制定 正式 的 用 户 注册 和 注销 规程 对 多 用 户 信息 系统 和 信息 服务 的 访问 进行 鉴别 与 
授权 。 

用 户 注册 规程 应 包括 以 下 内 容 : 

。 用 户 使 用 具有 系统 唯一 性 的 身份 标识 符 将 用 户 和 其 访问 行为 联系 起 来 ,并 使 用 户 为 
其 行为 负责 ,只 有 在 适合 于 群 (组 ) 工 作 方式 的 地 方才 允许 使 用 组 ( 群 ) 身 份 标识 符 ; 
对 用 户 访问 信息 系统 或 信息 服务 是 否 获得 了 系统 管理 者 的 授权 进行 审查 ,必要 时 ， 
管理 人 员 对 访问 权限 实行 特别 许可 也 是 需要 的 ; 

。 检查 所 授予 用 户 的 访问 权限 与 业务 的 安全 保护 目标 是 否 一 致 ,并 且 是 否 和 组 织 安全 

策略 相 一 致 ,访问 权限 不 可 危害 职责 划分 原则 ; 

。 向 用 户 颁 发 其 访问 权限 的 书面 说 明 ; 

。 要 求 用 户 签署 一 个 表明 他 们 已 理解 访问 控制 条 件 的 声明 书 ; 

。 确 保 只 有 在 授权 流程 完成 之 后 服务 供应 商 才 可 以 提供 服务 ; 

。 记录 所 有 注册 使 用 该 服务 的 用 户 的 正式 名 单 ; 

。 对 于 工作 岗位 变动 或 离开 组 织 的 用 户 ,应 立即 撤销 其 被 授予 的 访问 权 ; 

。 定 期 检查 和 取消 元 余 的 用 户 身份 标识 符 和 账号 ; 

。 确保 元 余 的 用 户 身份 标识 符 不 分 配给 其 他 用 户 。 

应 在 员工 聘用 合同 和 服务 合同 中 包括 一 些 条 款 ,对 越权 访问 等 违规 行为 必须 承担 的 责 
任 进行 详细 规定 。 

2. 特权 管理 

这 里 的 特权 指 的 是 启动 ,关闭 信息 系统 , 遇 到 紧急 情况 时 对 信息 系统 或 其 子 系统 进行 关 
闭 , 对 信息 系统 运行 必需 的 关键 设备 的 初始 化 参数 进行 配置 等 重大 操作 活动 所 需 具 备 的 特 
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殊 授权 。 这 些 特 权 一 般 只 授予 系统 管理 团队 。 具 有 这 些 特权 不 仅 可 拥有 超越 一 般 用 户 的 操 
作 权 限 ,而 且 拥 有 对 维持 信息 系统 运行 秩序 的 决定 权 。 因 此 ,对 操作 特权 的 分 配 和 使 用 进行 
管理 控制 是 信息 系统 有 序 ` 安 全、 健康 和 可 靠 运 行 的 最 基础 性 的 管理 活动 之 一 。 

信息 系统 应 制定 操作 特权 的 授予 和 管理 规程 ,对 系统 运行 、 维 护 、 升 级 更 新 和 紧急 事故 
处 理 中 所 需 的 重大 操作 特权 的 分 配 、 使 用 过 程 进行 控制 。 特 权 管理 控制 规程 应 考虑 以 下 
事项 : 


建立 与 信息 系统 参数 配置 .正常 启动 .紧急 处 置 和 异常 关闭 有 关 的 操作 规程 ,将 信息 
系统 关键 设备 /设施 (如 操作 系统 .数据 库 管理 系统 和 业务 软件 等 ) 的 操作 特权 分 配 
给 相应 的 系统 管理 员 ,对 于 大 中 型 信息 系统 应 将 这 些 操 作 特 权 分 别 授予 有 关 的 系统 
操作 员 ,对 于 某 些 重要 信息 系统 中 数据 库 管理 系统 的 操作 特权 可 分 割 给 有 关 操 作 
人 员 ; 
利用 信息 系统 中 的 日 志 记录 和 审计 与 监控 系统 对 所 有 系统 操作 人 员 的 操作 行为 进 
行 记录 和 监管 ; 
对 信息 系统 中 所 有 操作 权限 的 授予 应 遵循 最 小 特权 分 配 原 则 ,也 就 是 说 ,只 给 岗位 
角色 授予 他 们 在 需要 履行 职能 时 需 用 到 的 恰当 操作 期 限 ; 
将 授权 过 程 和 已 分 配 特权 的 授予 人 、 受 授 人 名 单 记录 在 案 。 已 被 授予 的 特权 未 经 批 
准 不 得 变更 或 转 授 他 人 ; 
对 信息 系统 重大 设备 初始 运行 参数 的 配置 可 使 用 供应 厂商 设 定 的 账户 和 口令 或 维 
护 端口 ,这 些 设 备 在 调试 结束 投入 正式 运行 之 前 应 将 供应 商 设 定 的 账户 和 口令 更 改 
为 新 的 账户 和 口令 ,并 维持 对 维护 端口 的 封闭 ; 
经 批准 ,信息 系统 操作 人 员 可 启用 维护 端口 处 理 紧急 情况 或 进行 系统 的 例 行 维护 。 
3. 用 户口 令 管理 
口令 是 用 户 身份 鉴别 信息 的 一 部 分 ,常用 来 识别 访问 信息 系统 或 信息 服务 的 用 户 的 身 
份 。 信 息 系统 用 户 的 口令 可 由 系统 管理 员 分 配 , 也 可 由 用 户 通过 系统 的 界面 生成 并 经 系统 
验证 后 使 用 ,对 用 户 存 于 计算 机 中 的 口令 进行 保护 是 系统 管理 员 的 一 项 重要 职责 。 对 用 户 
口令 的 管理 措施 如 下 : 
。 用 户 签订 口令 保护 承诺 书 , 保 证 本 人 的 个 人 口令 未 经 批准 不 得 以 任何 形式 (包括 通 
过 网 络 和 以 口头 方式 ) 向 他 人 泄露 ,以 及 所 持 有 的 组 ( 群 ) 口 令 只 限于 在 组 成 员 之 中 
(这 可 以 包含 在 雇用 条 款 和 条 件 中 ) 交 流 ; 
。 分 配给 用 户 或 用 户 自己 按 规程 生成 的 口令 应 具有 相当 的 安全 性 ,并 定期 予以 更 新 ， 
用 户 丢 失 口 令 时 由 系统 管理 员 在 通过 对 用 户 身份 进行 确认 后 予以 重新 生成 ,并 从 系 
统 中 废止 原来 的 口令 ; 
。 必须 通过 可 控 的 网 络 通道 或 密 件 方式 传递 口令 ,不 得 使 用 第 三 方 通道 或 未 受 保护 
(明文 ) 的 电子 邮件 传递 口令 信息 ,用 户 对 收 到 的 口令 要 通过 合适 的 渠道 予以 确认 。 
生成 的 口令 应 具有 一 定 的 抗 猜测 强度 ,存储 在 计算 机 中 的 口令 应 有 某 种 形式 的 安全 保 
护 措施 (例如 对 口令 加 密 存 储 ) 。 
其 他 用 于 标识 用 户 身份 的 识别 物 ,比如 指纹 .签名 和 硬件 标记 (如 芯片 卡 ) ,都 可 用 于 标 
识 和 识别 用 户 的 身份 ,其 功能 相当 于 用 户口 令 , 但 安全 性 强 于 口令 。 
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4. 对 用 户 访问 权 的 检查 

为 了 对 用 户 访 问 信 息 系 统 和 信息 服务 的 权限 进行 有 效 监 管 ,管理 人 员 应 该 对 用 户 访 问 
权 进 行 检查 : 

。 对 用 户 访问 权限 定期 进行 检查 (建议 6 个 月 为 一 周期 ), 并 在 变更 后 进行 复核 ; 

。 对 特殊 访问 权 的 审查 周期 不 长 于 3 个 月 ; 

。 定期 检查 特权 的 分 配 和 使 用 情况 ,以 确保 分 配 的 特权 不 被 滥用 或 次 用。 


6.7.3 用户 的 安全 职责 


防止 未 授权 或 越权 访问 是 信息 系统 有 序 、 安 全 运行 的 基本 条 件 , 也 是 系统 合法 用 户 必须 
遵守 的 职业 道德 和 安全 责任 ,要 求 用 户 必须 意识 到 自己 在 维护 访问 控制 规则 中 的 责任 ,特别 
是 在 用 户口 令 的 使 用 和 维护 过 程 中 的 责任 。 
1. 口令 的 使 用 
用 户 在 选择 和 使 用 口令 时 应 遵循 安全 规范 。 
口令 提供 了 确认 用 户 身 份 的 一 种 方法 ,访问 控制 机 制 以 此 确认 用 户 对 信息 处 理 设备 的 
访问 权 。 建 议 所 有 的 用 户 : 
。 保 护 口 令 不 以 任何 形式 泄露 给 他 人 ; 
。 避免 将 口令 信息 记录 在 纸 上 和 信息 处 理 设备 上 ; 
。 如 有 迹象 表明 口令 受到 攻击 或 有 泄露 的 风险 ,应 立即 通过 管理 员 更 改口 令 ; 
。 选 择 字符 足够 长 的 .数字 和 字符 混杂 的 高 质量 的 口令 ,并 尽量 做 到 : 
=- 不 要 使 用 与 个 人 有 关 的 信息 作为 口令 ,如 名 字 电话 号 码 和 生日 信息 ,等 等 ; 
一 不 要 采用 连续 是 同一 字符 或 全 数字 、 全 字母 的 口令 。 
。 定期 或 基于 访问 次 数 更 改口 令 ,特权 账号 的 口令 更 换 更 要 频繁 一 些 ,避免 多 次 重新 
使 用 或 循环 使 用 口令 ; 
。 第 一 次 登录 新 系统 后 应 立即 将 设备 配置 的 默认 口令 更 改 为 用 户 自己 设置 的 口令 ; 
。 不 要 把 口令 信息 包含 在 任何 自动 登录 的 程序 中 ,例如 保存 在 宏 或 功能 键 中 ; 
。 不 与 他 人 共享 个 人 口令 。 
如 果 用 户 需要 访问 多 项 服务 或 应 用 平台 软件 ,建议 用 户 对 所 有 服务 使 用 唯一 的 高 质量 
的 口令 ; 也 可 以 使 用 硬件 ID 作为 一 卡通 ,进入 应 用 平台 后 ,再 对 信息 服务 采用 一 般 口 令 进 
行 访问 ,这些 做 法 可 能 比 使 用 多 个 质量 不 高 的 口令 安全 一 些 。 
2. 对 无 人 值守 设备 的 管理 
对 无 人 值守 的 设备 必须 有 周密 的 保护 措施 。 在 用 户 区 安装 的 设备 ,如 个 人 计算 机 终端 、 
工作 站 或 文件 服务 器 , 当 长 时 间 无 人 值守 时 ,针对 未 授权 访问 的 风险 需要 有 特殊 的 安全 保护 
措施 。 用 户 和 承包 商 必 须 意识 到 保护 无 人 值守 设备 的 安全 要 求 和 流程 ,以 及 在 实施 这 种 保 
护 时 的 责任 。 建 议 用 户 : 
。 除非 有 适当 的 锁定 机 制 ( 如 屏保 口令 ) 保 护 , 否 则 设备 使 用 完 后 应 终止 活动 的 进程 或 
予以 关闭 ; 
。 进程 结束 之 后 ,应 从 主机 上 注销 并 退出 系统 ,然后 关闭 个 人 计算 机 终端 ; 
。 通过 键盘 锁 或 类 似 措施 避免 对 个 人 计算 机 或 终端 的 未 授权 使 用 ,例如 口令 保护 。 


6.7.4 对 网 络 访问 的 控制 


对 内 部 网 络 和 外 部 网 络 之 间 的 访问 活动 必须 进行 控制 。 为 了 确保 外 部 用 户 访问 内 部 网 
络 及 其 信息 或 服务 的 行为 不 会 危害 到 这 些 网 络 服 务 的 安全 性 ,要 确保 以 下 内 容 : 

。 在 组 织 内 部 网 络 和 其 他 组 织 的 网 络 以 及 公共 网 络 之 间 有 符合 安全 规范 的 隔离 措施 ; 

。 对 用 户 和 设备 身份 的 真实 性 有 适当 的 鉴别 机 制 ; 

”控制 外 部 用 户 对 组 织 网 络 和 信息 服务 的 访问 。 

1. 制定 网 络 安全 访问 策略 

用 户 只 可 以 直接 或 间接 地 访问 已 获 明确 授权 的 网 络 系统 或 信息 服务 。 对 用 户 访问 权限 
进行 控制 ,特别 是 对 于 连接 到 敏感 的 或 关键 性 的 业务 应 用 软件 或 通过 高 风险 区 (如 在 组 织 安 
全 管理 和 控制 之 外 的 公共 或 外 部 区 域 ) 对 内 对 外 的 连接 的 用 户 特别 重要 。 

应 制定 有 关 使 用 网 络 和 网 络 服务 的 安全 策略 ,包括 以 下 内 容 : 

。 人 允许 用 户 授权 访问 的 网 络 和 网 络 服务 清单 ; 

。 允许 访问 不 同 网 络 和 网 络 服务 的 内 部 或 外 部 用 户 获 得 授权 的 规程 ; 

。 对 网 络 连 接 和 访问 网 络 服务 的 管理 控制 规程 。 

2. 控制 访问 路 径 

应 控制 从 用 户 终 端 到 网 络 服务 的 通信 路 径 。 网 络 设计 的 基本 出 发 点 是 允许 最 大 范围 的 
资源 共享 和 路 由 的 灵活 性 ,但 这 种 特点 也 给 未 经 授权 的 访问 业务 应 用 软件 和 使 用 信息 设备 
提供 了 机 会 。 对 用 户 终端 和 允许 它们 访问 的 网 络 服务 之 间 的 路 径 进 行 控制 是 减 小 访问 风险 
的 有 效 方法 之 一 。 

控制 访问 路 径 的 目的 是 防止 用 户 在 用 户 终端 和 其 已 被 授权 访问 的 服务 之 间 的 路 径 以 外 
选择 路 径 ,这 需要 在 路 径 的 不 同 节点 上 实施 一 系列 的 控制 措施 。 其 原理 是 通过 事先 选 定 的 
路 径 来 限制 在 网 络 中 每 个 节点 上 的 路 由 选项 。 

3. 外 部 接 入 的 用 户 鉴别 

用 户 从 外 部 接 人 网 络 可 能 对 业务 信息 进行 未 授权 的 访问 ,如 拨号 方式 的 访问 。 因 此 , 远 
程 用 户 的 连接 访问 必须 经 过 身份 鉴别 。 鉴 别 方法 有 不 同 的 类 型 ,一些 方法 可 提供 高 安全 级 
别 , 如 基于 加 密 技术 的 方法 可 提供 很 强 的 身份 鉴别 。 通 过 风险 评估 来 决定 鉴别 方法 的 选择 
原则 。 

对 远程 用 户 的 鉴别 可 以 使 用 (如 基于 加 密 技术 的 ) 硬 件 令 牌 或 质询 /响应 协议 来 实现 ; 
专用 线路 或 网 络 用 户 地 址 检验 设备 可 以 用 来 提供 对 连接 源 地址 的 鉴别 。 

对 回 拨 过 程 进行 控制 ,如 使 用 回 拨 调 制 解 调 器 可 以 防止 对 组 织 信息 处 理 设备 的 未 授 
权 和 不 需要 的 访问 。 这 种 控制 措施 可 以 识别 企图 在 远程 站 点 和 组 织 的 网 络 之 间 建 立 连 
接 的 未 授权 用 户 。 在 使 用 此 类 控制 措施 时 ,组 织 不 得 使 用 含有 呼叫 转 接 的 网 络 服务 , 因 
此 ,这 些 服 务必 须 禁 止 使 用 呼叫 转 接 功能 ,以 避免 由 此 带 来 的 隐患 。 回 拨 过 程 必须 保证 
在 组 织 的 一 方 可 以 主动 中 断 连接 ,否则 ,远程 用 户 可 以 保持 线路 的 持续 开放 ,而 在 第 二 次 
回 拨 时 不 必 进 行 回 拨 鉴 别 , 这 是 很 危险 的 。 对 于 这 种 可 能 的 风险 ,要 进行 彻底 的 测试 和 
评估 。 

4. 节点 鉴别 

计算 机 远程 自动 连接 的 功能 可 能 留 下 未 授权 访问 业务 应 用 的 隐患 ,因此 对 远程 计算 机 
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的 连接 要 进行 真实 性 鉴别 。 如 果 连 接 是 由 组 织 可 控制 范围 之 外 的 网 络 发 起 的 ,鉴别 则 尤为 
重要 。 节 点 鉴别 可 以 作为 一 个 可 选 方法 ,用 来 验证 连接 到 共享 的 计算 机 设备 的 远程 用 户 的 
真实 性 。 

5. 远程 诊断 端口 控制 

对 诊断 端口 的 访问 必须 严格 控制 。 很 多 计算 机 和 通信 系统 都 配备 有 供 维修 工程 师 使 用 
的 拨号 远程 诊断 端口 。 这 些 诊 断 端口 提供 了 不 需 授 权 且 权限 很 高 的 访问 设备 的 途径 ,因此 
必须 严 加 控制 。 另 外 ,应 有 适当 的 安全 控制 机 制 ( 如 使 用 键盘 锁 、 密 封条 和 严格 的 管理 规程 
来 确保 只 有 计算 机 服务 管理 人 员 和 要 求 访问 的 软 / 硬 件 支 持 人 员 在 得 到 授权 后 才 可 以 访问 
这 些 端口 。 

6. 网 络 隔离 控制 

从 技术 本 质 上 讲 , 开 放 互 连 网 络 与 外 部 网 络 之 间 没 有 物理 意义 上 的 边界 ,这 正 是 建立 业 
务 合作 关系 所 需要 的 。 这 种 网 络 特性 如 不 采取 任何 控制 措施 会 增加 对 建立 在 网 络 上 的 信息 
系统 进行 未 授权 访问 的 风险 ,这 就 需要 在 内 部 网 络 和 外 部 网 络 之 间 采 取 控制 措施 ,以 便 既 能 
进行 业务 合作 ,又 能 防范 来 自 外 部 网 络 用 户 的 未 授权 访问 。 

这 里 的 内 部 网 络 和 外 部 网 络 是 一 个 相对 概念 ,特别 是 外 部 网 络 可 以 是 组 织 外 的 另 一 个 
组 织 的 网 络 或 公共 网 络 (包括 因特网 ) ,也 可 以 是 大 型 网 络 中 其 他 部 门 或 机 构 的 网 络 。 

控制 大 型 网 络 中 部 门 网 络 之 间 和 业务 网 络 之 间 边 界 的 一 种 方法 就 是 把 网 络 划 分 成 若干 
物理 的 或 逻辑 的 网 络 域 ,对 每 一 个 网 络 域 所 定义 的 边界 进行 控制 保护 。 这 种 边界 保护 措施 
可 以 是 在 相连 的 两 个 网 络 域 之 间 安装 安全 网 关 , 或 是 通过 对 交换 设备 配置 划分 虚拟 局 域 网 
(VLAN) ,这 都 可 以 控制 其 间 的 访问 路 径 和 信息 流 , 必 要 时 还 可 以 在 两 个 安全 域 之 间 安 装 单 
向 传输 控制 设备 ,以 控制 数据 流向 。 

在 组 织 内 部 网 络 与 其 他 组 织 的 网 络 或 公共 网 络 之 间 的 控制 措施 可 以 是 采用 防火 墙 、 交 
换 设备 或 应 用 网 关 一 类 的 逻辑 隔离 控制 措施 ,也 可 以 是 采用 摆渡 式 的 网 闸 或 单 向 传输 控制 
设备 。 这 两 类 隔离 措施 对 信息 流 的 控制 方式 是 不 一 样 的 ,前 者 是 基于 规则 控制 信息 流 ,后 者 
是 基于 硬件 技术 控制 信息 单 向 传输 ,因此 隔离 控制 强度 差别 很 大 。 

7. 网 络 连接 控制 

对 于 访问 共享 的 网 络 特别 是 访问 跨越 组 织 边 界 的 网 络 , 需 要 制定 访问 控制 策略 ,控制 策 
略 中 必须 包括 限制 用 户 连接 类 型 的 控制 措施 。 这 种 控制 措施 可 通过 网 关 来 实现 ,网 关 通 过 
预先 定义 的 路 由 表 或 路 由 规则 来 过 滤 通 信 连 接 。 所 实行 的 限制 措施 应 基于 业务 应 用 的 访问 
策略 和 变更 需求 进行 维护 和 更 新 。 

8. 网 间 的 路 由 控制 

共享 的 网 络 特 别 是 扩展 到 组 织 边界 之 外 的 网 络 , 需 要 用 路 由 控制 措施 来 确保 计算 机 的 
互 连 和 信息 流 不 会 违背 业务 应 用 的 访问 控制 策略 ,对 于 和 第 三 方 ( 非 本 组 织 ) 用 户 共享 的 网 
络 , 这 种 控制 措施 是 不 可 缺少 的 。 

路 由 控制 应 具有 对 源 地 址 和 目的 地 址 的 审核 机 制 ,网络 地 址 转换 对 于 网 络 隔离 和 防止 
路 由 从 一 个 组 织 的 网 络 扩展 到 另 一 个 组 织 的 网 络 是 一 种 很 有 效 的 机 制 , 这 种 机 制 可 通过 软 
件 和 硬件 形式 实现 ,在 实施 时 应 注意 到 所 采用 机 制 的 控制 强度 。 

9. 网 络 服务 的 安全 管理 

大 范围 的 公共 网 络 和 专用 网 络 上 的 网 络 服务 有 很 多 种 ,其 中 有 一 些 服务 可 给 用 户 带 来 
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增值 效应 。 网 络 服务 具有 个 性 化 的 、 复 杂 化 的 特点 ,使 用 网 络 提供 服务 的 组 织 必须 提供 一 个 
对 所 使 用 服务 的 安全 规则 的 清晰 描述 。 


6.7.5 对 操作 系统 的 控制 


操作 系统 本 身 一 般 都 提供 一 些 限 制 对 计算 机 资源 进行 访问 的 功能 ,但 这 些 功 能 需要 进 
行 必要 的 配置 才能 发 挥 作用 ; 此 外 ,要 更 严格 地 防止 对 计算 机 的 未 授权 访问 ,还 需要 从 管理 
上 利用 操作 系统 提供 的 附加 安全 控制 措施 。 这 些 措 施 应 该 做 到 : 

。 根据 计算 机 防范 未 授权 访问 的 实际 需要 ,在 操作 系统 安装 后 立即 对 一 些 初 始 化 运行 
参数 的 默认 值 进行 修改 ,以 适合 本 机 运行 的 安全 需要 ; 

对 访问 计算 机 资源 的 任何 实体 (例如 其 他 计算 机 用 户 、 进 程 ) 的 真实 身份 和 来 源 进行 

鉴别 ,如 有 必要 还 应 附加 核对 合法 访问 实体 的 访问 权限 的 控制 措施 ; 

记录 成 功 的 和 失败 的 对 计算 机 的 访问 行为 ; 

。 提供 对 计算 机 弱 口 令 的 审核 ,确保 用 户 使 用 高 质量 的 口令 ; 

。 一 般 情 况 下 ,限制 用 户 的 访问 频 度 或 在 一 定时 段 内 访问 的 次 数 , 也 可 对 未 授权 访问 
行为 起 到 遏制 作用 。 


6.7.6 对 应 用 系统 的 控制 


在 应 用 系统 (特别 是 业务 应 用 程序 ) 内 应 采取 安全 措施 限制 对 应 用 程序 或 业务 流程 的 访 
问 , 以 防止 对 信息 系统 的 信息 和 信息 服务 的 未 授权 访问 。 一 般 的 应 用 系统 ( 某 些 匿名 登录 的 
公共 信息 系统 除外 ) 都 有 一 些 由 产品 生产 商 开 发 的 访问 控制 措施 ,例如 登录 的 账户 和 口令 
等 ,但 这 些 措 施 在 身份 鉴别 和 访问 权限 控制 方面 的 控制 力度 是 否 满足 对 信息 和 信息 服务 的 
机 密 性 、 完 整 性 和 可 用 性 的 保护 要 求 可 能 存在 问题 ,因此 需要 根据 对 信息 和 信息 服务 的 保护 
措施 进行 评估 的 结果 来 判断 。 如 果 由 生产 商 开 发 的 应 用 系统 的 保护 力度 不 够 , 则 应 该 采取 
额外 的 控制 措施 。 

对 应 用 系统 提供 的 信息 和 信息 服务 进行 访问 的 范围 必须 限定 在 被 授权 的 用 户 中 。 应 用 
系统 对 未 授权 访问 的 控制 措施 应 遵循 以 下 原则 : 

”依照 定义 的 对 信息 和 应 用 业务 的 访问 策略 控制 对 信息 和 信息 服务 系统 的 访问 ; 

。 对 所 有 可 能 超越 应 用 系统 控制 的 操作 (例如 利用 工具 对 应 用 系统 进行 诊断 的 ) 特 权 

予以 识别 ,并 从 管理 规程 和 技术 措施 上 进行 控制 ,防止 操作 特权 的 滥用 ; 

。 对 应 用 系统 的 信息 和 信息 服务 的 访问 不 得 危害 共享 信息 资源 的 安全 性 ; 

。 明确 制定 具有 合法 访问 应 用 系统 权限 的 名 单列 表 。 

1. 对 信息 访问 的 控制 

应 该 依照 制定 的 访问 控制 策略 ,基于 不 同业 务 应 用 的 需求 ,对 应 用 系统 用 户 ( 包 括 支 持 
人 员 ) 提 供 访问 信息 和 应 用 系统 功能 的 权力 。 为 支持 对 访问 的 限制 需求 ,应 考虑 采取 下 述 控 
制 措施 : 

"* 授权 访问 应 用 系统 信息 和 信息 服务 的 用 户 只 能 按 系统 提供 的 菜单 进行 操作 ， 

。 用 户 只 能 访问 被 授权 访问 的 信息 和 应 用 系统 提供 的 信息 服务 ; 

。 控制 用 户 对 信息 的 访问 权限 ,如 读 、 写 ,修改 和 删除 等 操作 ; 

。 应 用 系统 的 输出 只 包含 与 用 户 访 问 有 关 的 信息 ,并 只 能 发 送 到 授权 的 终端 和 站 点 。 
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2. 对 敏感 应 用 系统 的 隔离 
敏感 应 用 系统 可 能 要 求 有 专用 的 (或 与 外 网 进行 物理 隔离 的 ) 计 算 环境 ,这 就 意味 着 这 
样 的 应 用 系统 应 在 专用 的 计算 环境 中 运行 ,只 能 与 可 信和 的 信息 系统 共享 资源 。 


6.7.7 监控 


这 里 的 监控 指 的 是 对 信息 系统 内 各 种 设备 的 运行 状态 以 及 发 生 在 信息 系统 内 的 操作 行 
为 和 通信 事件 的 监视 与 控制 ,以 发 现 计 算 机 和 网 络 设备 的 异常 运行 情况 ,以 及 违背 访问 控制 
策略 的 操作 事件 和 通信 行为 。 监 控 的 目的 是 监测 信息 系统 设备 的 运行 以 及 未 授权 的 操作 行 
为 和 通信 事件 ,以 便 在 发 生 安全 事件 后 提供 责任 证 据 。 
通过 对 与 监控 有 关 的 信息 整合 ,还 能 验证 所 采用 的 控制 措施 的 有 效 性 和 充分 性 。 
1. 日 志 记 录 
日 志 记录 是 计算 机 和 网 络 设备 操作 系统 提供 的 ,用 于 记录 计算 机 和 网 络 设备 中 发 生 的 
操作 行为 与 通信 事件 。 通 过 对 日 志 记录 的 数据 进行 观察 和 整合 形成 审计 日 志 , 可 以 获得 对 
信息 系统 中 出 现 的 可 直接 观察 的 或 不 能 直接 观察 的 操作 行为 和 通信 事件 更 深刻 的 理解 ,从 
而 判断 信息 系统 运行 过 程 中 可 能 出 现 的 异常 操作 行为 和 通信 事件 。 由 这 些 异 常情 况 可 推 知 
信息 系统 运行 中 出 现 的 不 可 接受 的 事件 类 型 (例如 未 授权 访问 、 合 法 用 户 越权 访问 、 用 户 违 
规 访 问 和 通信 、 信 息 和 信息 服务 的 可 用 性 丧失 等 ) ,并 可 为 追究 各 种 事件 的 责任 提供 直接 证 
据 或 间接 的 线索 。 日 志 记录 应 包括 以 下 内 容 : 
。 用 户 身份 标识 符 ; 
。 登录 和 退出 系统 的 日 期 和 时 间 ， 
。 计算 机 终端 的 身份 和 位 置 标识 信息 ; 
。 成 功 的 和 被 拒绝 的 访问 信息 系统 的 尝试 ; 
。 成 功 的 对 外 连接 或 被 拒绝 的 对 外 连接 的 尝试 ; 
。 成功 的 和 被 拒绝 的 对 信息 和 信息 服务 的 访问 尝试 。 
可 靠 的 日 志 记 录 应 作为 信息 系统 运行 档案 的 一 部 分 ,一 方面 为 审计 提供 原始 数据 , 另 一 
方面 供 事件 后 的 深入 分 析 使 用 。 
2. 监控 
应 建立 监控 信息 处 理 设备 使 用 情况 的 流程 。 为 确保 用 户 只 进行 被 明确 授权 的 操作 ,这 
些 流 程 是 必需 的 。 对 不 同 设备 所 需 的 监控 强度 应 根据 风险 评估 来 确定 ,应 该 进行 监控 的 对 
象 如 下 : 
。 授权 访问 ,包括 以 下 细节 : 
一 用 户 ID( 身 份 标识 符 ); 
=- 操作 事件 发 生 的 日 期 和 时 间 ; 
-事件 类 型 ， 
一 被 访问 的 文件 、 使 用 的 访问 程序 和 设施 。 
。 特权 操作 ,例如 
一 使 用 系统 管理 员 账 号 ; 
一 系统 的 启动 和 关闭 
一 输入 /输出 设备 的 连接 与 断 开 。 


。 未 授权 的 访问 尝试 ,例如 : 
一 访问 失败 的 操作 实体 及 重复 尝试 的 次 数 ; 
= 对 网 关 和 防火 墙 等 访问 策略 的 违背 和 告警 ; 
一 人 侵 检 测 系统 报警 。 

。 系统 警报 或 故障 ,例如 : 
= 控制 台 ( 信 息 系统 管理 器 界面 ) 警 报 或 消息 ; 
一 系统 登录 异常 及 告警 
=- 网 络 管理 警报 。 

对 日 志 记 录 的 审查 包括 了 解 系统 的 脆弱 性 及 其 面临 的 威胁 和 威胁 发 生 的 形式 。 

系统 日 志 记录 通常 包括 大 量 的 信息 ,其 中 有 很 多 和 安全 监控 无 关 。 为 帮助 辨认 出 对 安 
全 监控 目的 有 意义 的 事件 ,应 考虑 将 消息 进行 适当 分 类 ,并 自动 复制 到 第 二 层次 的 日 志 中 ， 
或 使 用 适当 的 记录 设施 或 工具 执行 文件 审查 工作 。 这 些 工作 对 日 志 审 计 和 事件 的 深入 分 析 
极其 有 用 。 

担任 日 志 审 查 的 人 员 不 得 兼任 信息 系统 操作 员 ,并 与 被 监督 人 员 的 角色 分 开 。 

3. 时 钟 同 步 

计算 机 信息 系统 时 钟 的 正确 设置 对 于 确保 日 志 审 计 结果 的 准确 性 极为 重要 ,因为 这 些 
日 志 是 调查 所 需要 的 ,或 是 法 律 事件 .违规 事件 的 责任 证 据 。 不 准确 的 时 间 会 妨碍 调查 和 影 
响 作为 证 据 的 可 信 性 。 

在 计算 机 或 通信 设备 有 能 力 运行 网 络 时 间 协 议 C(NTS) 的 情况 下 ,有 条 件 的 信息 系统 要 
使 用 网 络 时 间 协 议 系统 。 时 钟 应 被 设置 成 公认 的 标准 时 间 体 系 ,例如 世界 协调 时 间 (UCT) 
或 当地 标准 时 间 。 如 未 能 安装 网 络 时 间 协 议 系统 ,为 防止 时 钟 随时 间 出 现 的 漂移 偏差 ,应 制 
定 规程 来 检查 和 修正 出 现 的 明显 时 间 偏 差 。 


6.7.8 移动 计算 和 远程 接 入 控制 


移动 计算 设备 的 远程 接 人 可 经 由 第 三 方 服务 提供 商 在 远程 现场 实现 ,也 可 以 经 由 自 
己 控制 的 无 线 网 络 实现 。 一 般 地 ,移动 计算 设备 远程 接 入 的 目的 都 有 通过 组 织 外 网 络 或 
公共 网 络 连 接 到 其 所 属 组 织 信 息 系统 访问 信息 和 信息 服务 的 需要 。 维 护 远 程 接 入 的 安 
全 需要 一 系列 的 规范 操作 ,如 通过 第 三 方 远程 接 入 服务 商 实 现 远程 连接 , 则 服务 商 必须 
承担 远程 接 入 点 的 安全 维护 责任 ; 如 使 用 自 设 无 线 网 络 连 接 , 则 需 进 行 风险 评估 ,目的 是 
确保 移动 计算 设备 通过 远程 连接 到 组 织 的 信息 系统 的 整个 过 程 的 信息 的 机 密 性 ,完整 性 
和 可 用 性 。 

维护 安全 的 远程 连接 需要 注意 下 列 事项 : 

。 确保 组 织 对 无 线 网 络 运行 的 控制 权 ; 

。 对 投入 运行 的 无 线 网 络 和 移动 计算 机 设备 进行 标识 ; 

。 移动 设备 在 接 人 无 线 网 络 前 应 进行 身份 鉴别 ,必要 时 进行 双向 身份 鉴别 ; 

。 应 用 补丁 和 安全 增强 技术 维护 无 线 网 的 安全 ; 

。 如 使 用 第 三 方 服务 商 实 现 远程 接 入 , 则 应 与 其 签订 安全 保护 协议 ; 

。 如 通过 第 三 方 接 入 ,最 好 对 连接 过 程 中 处 理 的 信息 进行 加 密 保护 ; 

。 为 防范 未 识别 的 脆弱 性 和 威胁 ,对 接 入 网 形成 的 风险 必须 加 强 监控 ; 
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。 移动 计算 设备 本 身 如 涉及 国家 秘密 ,未 经 批准 一 律 不 允许 通过 第 三 方 远程 接 人 提供 
商 的 信息 系统 。 

当前 基于 互联 网 技术 的 通信 协议 和 商业 产品 所 提供 的 保护 措施 对 组 织 的 移动 设备 使 用 
远程 接 人 来 说 ,其 安全 性 是 不 充分 的 。 使 用 第 三 方 服务 的 远程 接 人 可 能 引入 一 些 不 可 接受 
的 风险 。 在 部 署 无 线 接 人 技术 之 前 ,代理 商 应 主动 识别 其 中 的 风险 ,并 采取 安全 防范 措施 。 
此 外 ,很 多 组 织 在 管理 自 设 的 无 线 接 人 系统 方面 还 存在 安全 意识 不 强 或 技术 素质 不 够 的 问 
题 ,例如 对 生产 厂商 的 默认 配置 不 加 分 析 地 接受 ,或 对 入 口 控制 点 不 提供 合适 的 安全 保护 机 
制 ,也 没有 配置 适合 无 线 网 络 环境 的 安全 保护 设备 (例如 在 有 线 网 络 和 无 线 网 络 系统 之 间 配 
置 防火 墙 ` 阻 断 不 需要 的 服务 /端口 .使 用 加 密 技术 等 )。 在 大 多 数 情 况 下 ,大 部 分 风险 是 可 
以 通过 施加 安全 措施 减 小 的 ,不 过 也 要 考虑 减 小 风险 所 花费 的 代价 与 所 获得 的 安全 效能 之 
间 的 平衡 。 

1. 移动 计算 

在 使 用 移动 计算 设备 (如 笔记 本 计算 机 、 掌 上 电脑 和 移动 电话 ) 时 ,必须 确保 业务 信息 不 
被 泄漏 ,应 重视 使 用 移动 计算 设备 带 来 的 风险 ,并 制定 适当 的 保护 策略 ,特别 是 在 未 受 保护 
的 通信 环境 中 。 这 些 保 护 策略 应 包括 对 其 进行 物理 保护 ,访问 控制 数据 加 密 、 备 份 病 毒 防 
护 的 管理 和 控制 规程 ,以 及 移动 设备 接 人 业务 网 络 的 安全 规则 和 方案 。 

在 会 议 室 和 组 织 网 络 边界 之 外 的 其 他 未 受 保护 的 地 区 使 用 移动 计算 设备 时 ,应 采用 加 
密 技术 等 对 这 些 设备 存储 和 处 理 的 信息 进行 保密 ,避免 未 授权 访问 或 泄漏 。 

对 于 连接 到 组 织 外 网 络 上 的 移动 设备 ,不 管 是 用 于 办 公 还 是 跨 过 公共 网 远程 访问 业务 
信息 都 需 经 过 鉴别 ,并 有 适当 的 访问 控制 机 制 。 

对 移动 计算 设备 在 办 公 或 运输 途中 应 强调 物理 保护 ,以 防止 被 次 或 遗忘 在 交通 工具 、 旅 
馆 房间 和 会 议 室 里 。 承 载重 要 的 、 敏 感 的 或 关键 性 的 业务 信息 的 移动 计算 设备 必须 由 专人 
照管 ,并 不 得 人 机 分 离 。 如 有 可 能 ,应 进行 物理 锁定 ,或 使 用 特殊 的 掩护 方法 来 保护 设备 。 

加 强 对 持 有 移动 计算 设备 的 员工 进行 安全 意识 和 技术 素质 的 培训 ,提高 他 们 对 这 种 工 
作 方式 所 引起 的 额外 风险 的 意识 和 采取 保护 控制 措施 的 意识 。 

2. 远程 接 入 

远程 接 入 是 利用 网 络 通信 技术 使 员工 在 组 织 之 外 的 异地 或 系统 外 接 入 本 地 网 络 , 并 访 
问 组 织 内 的 信息 资源 。 在 远程 接 入 站 点 要 防止 非 授权 的 信息 泄露 或 对 设备 的 滥用 等 。 

组 织 应 对 远程 访问 活动 制定 严格 的 信息 安全 控制 策略 ,这 一 策略 必须 遵从 组 织 的 安全 
策略 。 只 有 在 组 织 的 信息 安全 控制 策略 下 采取 了 必要 且 充 分 的 安全 保护 与 管理 措施 , 才 可 
以 允许 对 组 织 的 业务 系统 进行 远程 访问 。 在 采取 安全 保护 和 管理 控制 措施 时 ,应 考虑 以 下 
因素 ，: 

。 和 远程 接 入 站 点 的 物理 安全 应 当 满足 建筑 物 和 环境 的 物理 安全 标准 ; 
远程 接 人 站 点 的 接 人 供应 商 应 承诺 对 接 和 人 设备 内 和 通过 接 人 设备 的 信息 不 截获 、 侦 
听 或 外 泄 ; 
远程 数据 应 通过 安全 通信 通道 或 安全 协议 传输 ; 
通过 远程 接 入 的 计算 设备 不 得 越权 访问 组 织 的 信息 系统 的 信息 和 信息 服务 。 
远程 接 入 的 保护 和 控制 措施 如 下 : 

。 对 远程 接 入 的 设备 和 存储 工具 必须 经 过 身份 鉴别 ; 
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”规定 远程 访问 活动 的 操作 时 间 以 及 远程 设备 授权 可 访问 的 内 部 系统 和 服务 资源 ; 

。 约定 使 用 远程 移动 计算 设备 的 类 型 和 远程 访问 的 操作 流程 ; 

。 远程 接 入 设备 与 组 织 的 业务 系统 之 间 交 换 的 数据 通过 安全 隧道 传输 ,传输 敏感 信息 
时 还 应 对 数据 进行 加 密 ; 

。 加 强 对 远程 接 入 设备 和 访问 活动 的 监控 与 审计 ; 

。 远程 接 入 访问 活动 结束 时 ,撤销 对 远程 移动 计算 设备 从 远程 访问 组 织 的 信息 系统 的 
授权 。 


6.8 系统 开发 和 维护 


6.8.1 系统 的 安全 需求 


此 处 所 说 的 系统 是 指 完成 业务 的 应 用 信息 系统 。 在 开发 信息 系统 的 应 用 (或 服务 ) 的 业 
务 流 程 之 前 ,应 先 与 项 目 需求 分 析 一 起 对 其 中 需要 解决 的 安全 保护 和 管理 问题 进行 识别 并 
予以 确认 ,这 就 是 信息 系统 安全 需求 的 开发 问题 。 

安全 需求 是 针对 信息 系统 的 应 用 (或 服务 ) 的 业务 流程 在 其 存活 期 间 的 风险 应 对 策略 。 
由 于 信息 系统 的 资产 存在 脆弱 性 ,可 能 面临 来 自 系统 内 部 或 外 部 的 威胁 ,这 些 威胁 的 主体 
( 即 执行 者 ) 在 一 定 条 件 下 可 能 成 功 地 利用 或 开发 脆弱 性 ,从 而 对 信息 系统 的 某 些 资产 或 系 
统 整体 在 机 密 性 、 完 整 性 和 可 用 性 等 方面 造成 损失 ( 害 ) 或 负面 影响 ,对 信息 系统 构成 风险 。 

特别 需要 提醒 的 是 ,这 里 所 说 的 应 对 风险 的 策略 还 应 包括 将 对 安全 需求 的 陈述 转化 成 
具体 的 安全 保护 和 管理 的 措施 ,因此 安全 需求 和 安全 措施 之 间 是 直接 关联 的 。 例 如 ,通过 公 
共 网 络 环境 传输 敏感 信息 时 ,由 于 传输 线路 存在 电磁 泄漏 或 可 物理 接近 的 脆弱 性 ,因此 面临 
无 线 窃听 和 搭 线 侦 听 的 威胁 ,这 就 可 能 形成 敏感 数据 被 窃取 或 外 泄 的 风险 ; 应 对 此 类 风险 
的 安全 需求 即 是 要 求 传输 线路 防 电磁 泄漏 和 物理 不 可 接近 ; 为 满足 安全 需求 ,在 安全 保护 
措施 上 采取 光缆 通信 ,尽量 降低 电磁 泄露 ,通信 线 缆 外 加 较为 坚固 的 管道 (在 可 能 的 地 方 采 
用 地 下 管 网 ) 防 范 搭 线 窃听 ,必要 时 对 传输 的 敏感 信息 进行 加 密 , 同 时 在 管理 措施 上 加 强 监 
控 和 通信 保护 条 例 的 宣传 教育 。 

所 有 的 安全 需求 应 当 在 项 目 需 求 分 析 阶 段 被 识别 出 来 ,并 论证 其 必要 性 和 充分 性 ,然后 
文档 化 ,作为 信息 系统 整体 文档 资料 的 一 部 分 妥善 保存 ,并 随 着 项 目 需求 的 修改 或 变动 进行 
更 新 。 最 终审 定 的 安全 需求 将 转化 成 具体 的 信息 安全 保护 措施 (技术 性 措施 ,如 设备 .设施 
和 软 /硬件 模块 等 ; 管理 性 措施 ,如 建立 规章 制度 和 操作 规程 等 ) 供 选择 和 配置 。 

由 安全 需求 转化 的 安全 保护 措施 应 当 体 现 所 保护 的 信息 资产 的 价值 ,以 及 可 能 由 故障 
或 安全 措施 的 不 充分 或 缺失 而 存在 的 潜在 业务 损失 。 由 于 安全 保护 措施 的 不 充分 或 缺失 而 
存在 的 风险 是 信息 系统 残留 风险 分 析 和 评估 的 主要 内 容 。 

在 信息 系统 的 应 用 或 在 服务 业务 设计 时 就 引入 安全 需求 分 析 , 进 而 对 安全 保护 措施 的 
效能 进行 评价 , 比 在 实施 中 或 实施 后 再 针对 安全 问题 引入 安全 控制 措施 ,其 整体 安全 性 及 其 
安全 效 费 比 更 为 优化 和 合理 。 


6.8.2 业务 流程 安全 
在 开发 设计 应 用 业务 信息 系统 时 ,应 当 对 业务 处 理 流程 的 安全 保护 做 出 安排 ,并 在 业务 
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处 理 流程 中 插 ( 嵌 ) 入 适当 的 安全 控制 机 制 。 这 包括 书面 的 业务 流程 的 操作 规程 ,对 处 理 流 
程 中 的 输入 数据 、 内 部 处 理 流程 和 输出 数据 的 确认 机 制 等 ,目的 是 防止 丢失 、 修 改 或 误 用 应 
用 系统 中 的 用 户 数据 。 

对 于 处 理 敏感 的 .有 价值 的 或 重要 的 组 织 资产 的 信息 系统 可 能 需要 额外 的 安全 控制 措 
施 ,这 样 的 安全 控制 措施 应 当 根 据 安全 需求 来 确定 。 

1. 输入 数据 的 确认 

输入 应 用 系统 的 数据 应 当 确 保 它 是 系统 需要 的 和 符合 规则 的 。 

应 当 考 虑 下 列 控制 措施 。 

。 采取 措施 检测 下 列 错误 : 
-数据 长 度 超过 规定 的 位 数 ; 
一 数据 字段 中 包括 无 效 字符 ; 
一 丢失 的 或 不 完整 的 数据 ; 
一 超出 数据 量 的 上 、 下 限制 ; 
-未 授权 的 或 不 一 致 的 控制 数据 。 
检查 关键 字段 或 数据 文件 的 内 容 , 以 确定 其 有 效 性 和 完整 性 ; 
通过 检查 所 复制 的 输入 文档 ,判断 输入 文档 是 否 存在 未 授权 的 变更 (对 输入 文档 的 
任何 变更 都 应 当 经 过 授权 ); 
对 输入 错误 予以 响应 的 操作 规程 ; 
测试 输入 数据 合 规 性 的 操作 规程 ; 
记录 数据 输入 过 程 中 所 涉及 的 所 有 人 员 及 其 操作 。 

2. 内 部 处 理 的 控制 

已 正确 输入 的 数据 可 能 因为 内 部 处 理 错误 或 故意 的 行为 而 被 破坏 ,应 当 在 应 用 信息 系 
统 的 业务 流程 中 插入 检测 模块 ,对 处 理 过 程 中 合法 数据 出 错 的 情况 进行 识别 。 应 用 信息 系 
统 软件 的 设计 应 当 将 导致 数据 完整 性 丧失 的 软件 缺陷 的 风险 降 至 最 低 , 这 类 风险 包括 : 

”在 应 用 程序 中 设置 增加 与 删除 功能 可 能 导致 非法 或 越权 对 数据 的 变更 ; 

。 应 用 程序 的 缺陷 导致 业务 流程 以 错误 的 逻辑 顺序 运行 或 在 故障 修复 前 继续 运行 ; 

。 故障 恢复 处 理 规 程 存在 缺陷 。 

业务 流程 内 部 控制 检查 的 项 目 和 内 容 取决 于 应 用 业务 信息 系统 的 性 质 以 及 数据 受到 破 
坏 后 对 业务 的 影响 ,其 检查 实例 可 能 包括 : 

。 会 话 或 批 处 理 控制 措施 ; 

"系统 生成 的 数据 的 确认 流程 

。 中 央 计 算 机 和 远程 计算 机 之 间 下 载 和 上 传 数据 或 软件 的 完整 性 保护 机 制 ; 

。 记录 数据 和 文件 数据 的 完整 性 保护 机 制 ; 

”应 用 程序 运行 的 逻辑 顺序 是 否 存 在 缺陷 ,能 否 在 出 现 故障 时 停止 运行 ,并 在 故障 修 

复 后 恢复 运行 。 

3. 消息 鉴别 

消息 鉴别 是 一 种 完整 性 保护 机 制 , 可 用 于 检测 传输 的 电子 消息 的 未 授权 变更 或 破坏 。 
它 可 以 通过 支持 物理 消息 鉴别 装置 或 软件 算法 的 硬件 或 纯 软 件 实现 。 

应 当 考 虑 采用 消息 鉴别 技术 保护 消息 内 容 的 完整 性 ,例如 对 非常 重要 的 电子 资金 划拨 
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或 其 他 类 似 的 电子 数据 的 交换 进行 完整 性 检测 。 对 应 用 系统 的 业务 特性 和 处 理 流程 进行 安 
全 风险 评估 可 以 帮助 决定 是 否 需要 采用 消息 鉴别 机 制 。 

消息 鉴别 并 不 是 设计 用 来 保护 消息 的 内 容 免 受 未 授权 的 暴露 的 ,但 加 密 技术 在 保护 消 
息 不 受 未 授权 暴露 的 同时 , 却 可 以 用 来 实现 消息 鉴别 。 

4. 输出 数据 的 确认 

对 从 应 用 系统 中 输出 的 数据 应 进行 确认 处 理 。 对 输出 数据 的 确认 处 理 包 括 : 

。 制定 输出 数据 合 规 性 测试 的 规程 ; 

。 使 用 规程 测试 输出 的 数据 的 合理 性 ; 

。 使 用 一 致 性 的 计算 方法 控制 所 有 输出 数据 在 处 理 方法 上 的 一 致 性 ; 

。 记录 数据 输出 过 程 中 所 涉及 的 所 有 人 员 及 其 操作 。 


6.8.3 加 密 控制 


对 于 面临 泄露 或 暴露 且 用 其 他 的 控制 措施 不 足以 保护 的 (数据 ) 信 息 ,应 当 使 用 加 密 技 
术 来 保护 信息 的 机 密 性 ,真实 性 或 完整 性 。 

1. 使 用 加 密 控 制 措施 的 策略 

使 用 加 密 方案 保护 数据 是 在 评估 风险 后 选择 的 一 种 保护 控制 措施 。 在 通过 风险 评估 结 
果 决 定 的 安全 保护 措施 中 ,加 密 保护 控制 措施 是 在 采用 其 他 措施 仍 不 足以 或 不 能 够 达到 安 
全 需求 规定 的 保护 强度 的 情况 下 的 措施 。 加 密 技术 方案 不 仅 能 保护 数据 的 机 密 性 (不 被 汇 
露 . 不 可 访问 或 不 可 理解 ) ,而 且 能 保护 数据 的 完整 性 (不 被 修改 ,或 在 遭受 修改 后 恢复 ) ,以 
及 验证 数据 的 真实 来 源 。 但 加 密 保 护 措施 花费 的 投入 和 运 维 更 多 ,成 本 较 高 ,因此 最 终 确 定 
使 用 哪 种 类 型 的 控制 措施 应 综合 考虑 多 种 因素 ,不 可 盲目 地 追求 加 密 保护 措施 。 

一 个 组 织 应 制定 一 个 完整 的 使 用 加 密 控制 措施 的 策略 。 为 了 获得 安全 保护 的 最 佳 效 费 
比 , 并 将 使 用 加 密 控制 措施 的 风险 (例如 滥用 密码 、 密 钥 丢 失 等 ) 最 小 化 ,制定 密码 使 用 策略 
是 必需 的 。 在 制定 这 种 策略 时 ,应 当 考 虑 以 下 事项 : 

。 组 织 使 用 加 密 控 制 措施 的 管理 方案 ,包括 法 律 遵 从 性 ,数据 加 密 保护 等 级 、 密 码 类 

型 .数据 保护 范围 等 ; 
。 密 钥 管理 方案 ,包括 密 钥 种 子 、 密 钥 生 成 分 发 注册、 使 用 、 注 销 , 以 及 在 密 钥 丢失 、 
泄漏 .被 破坏 情况 下 的 应 急 处 理 方法 ; 

。 密 钥 管 理 与 使 用 的 角色 及 其 应 承担 的 责任 ; 

。 对 加 密实 施 过 程 的 管理 控制 ; 

。 密 钥 管理 系统 的 维护 规程 。 

2. 密码 技术 管理 

加 密 技术 是 一 种 数据 变换 技术 ,其 使 用 应 当 遵循 上 述 策略 原则 , 切 不 可 滥用 ,因为 不 适 
当地 使 用 密码 加 密 技术 或 对 密码 系统 管理 不 当 也 是 有 风险 的 。 

应 当 根 据 风险 评估 综合 考虑 采用 的 加 密 算法 的 类 型 和 质量 以 及 所 使 用 的 密 钥 的 长 度 ， 
与 所 保护 的 信息 数据 的 安全 等 级 需求 相 适 应 ,过 度 保护 和 欠 保 护 同样 是 有 害 的 。 

在 决定 采用 加 密 技术 保护 信息 系统 数据 时 ,一 个 重要 的 问题 是 不 同 国家 (和 地 区 ) 对 使 
用 加 密 技 术 的 法 律 限 制 可 能 不 同 ( 甚 至 差别 很 大 ) ,因此 要 考虑 加 密 信息 跨国 界 流动 可 能 遇 
到 法 律 障碍 ,进而 造成 技术 性 障碍 。 此 外 ,如 果 未 经 批准 引进 国外 加 密 技 术 和 设备 ,不 仅 违 
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反 法 律 规定 ,而 且 由 于 密码 核心 技术 受制 于 人 ,从 数据 保护 角度 来 讲 最 大 的 风险 如 同 用 来 保 
护 数据 的 保险 箱 的 钥匙 实际 上 在 货主 或 保险 箱 生 产 商 手 中 一 样 。 

密码 技术 问题 应 当 寻 求 专家 的 建议 ,密码 使 用 的 法 律 问题 应 当 咨询 国家 密码 主管 机 构 。 

3. 数字 签名 管理 

数字 签名 技术 是 密码 应 用 技术 的 一 种 ,用 于 保护 电子 文档 完整 性 和 来 源 真实 性 。 

数字 签名 适用 于 电子 化 处 理 的 任何 形式 的 文档 ,例如 签署 电子 支付 赁 证、 资金 的 划拨 、 
合同 和 协议 等 。 这 种 技术 使 用 私 钥 生 成 签名 ,而 使 用 公 钥 验证 该 签名 。 因 此 应 当 注 意 保护 
私 钥 的 秘密 性 ,因为 任何 能 够 窃取 别人 拥有 的 私 钥 的 人 都 能 够 假冒 他 人 签署 文档 ,例如 支 
票 、 合 同 ; 同样 ,通过 对 公 钥 的 鉴别 技术 保护 公 钥 的 完整 性 也 是 很 重要 的 。 

在 考虑 使 用 数字 签名 技术 时 ,需要 考虑 所 使 用 的 签名 算法 的 类 型 和 质量 ,以 及 所 使 用 的 
密 钥 长 度 ,与 被 保护 数字 文档 的 安全 等 级 要 求 相 适应 ,过 度 保护 和 欠 保 护 都 是 有 害 的 。 

在 使 用 数字 签名 时 ,同样 应 当 考虑 法 律 限 制 ,特别 是 在 电子 商务 中 ,了 解数 字 签 名 的 法 
律 有 效 性 是 很 重要 的 。 

4. 抗 抵赖 服务 的 管理 

抗 抵赖 服务 用 于 解决 信息 收发 双方 对 于 收发 信息 的 操作 行为 的 否认 ,以 及 对 收发 信息 
的 内 容 出 现 的 争执 。 这 种 安全 服务 在 电子 商务 合同 或 支票 来 往 中 是 最 为 常见 的 ,也 是 解决 
由 于 当事人 有 意 无 意 的 行为 造成 的 争端 或 由 于 线路 故障 出 现 的 传输 错误 导致 的 争端 的 最 有 
效 的 方法 。 

这 种 安全 服务 形式 可 由 相互 信任 的 双方 约定 解决 争端 方式 ,也 可 经 由 双方 信任 的 第 三 
方 对 出 现 的 争端 进行 仲裁 。 

对 于 前 一 种 解决 争端 的 方式 ,信息 收发 双方 应 约定 采用 数字 签名 技术 来 保证 信息 的 收 
发 双方 身份 的 唯一 性 ,以 及 对 收发 的 信息 内 容 的 不 可 更 改 性 ,并 对 信息 传输 过 程 中 可 能 出 现 
的 数据 差错 采取 校 验 和 纠 错 措 施 。 显 然 ,在 这 种 方式 下 双方 对 于 签名 用 的 私 钥 必须 妥善 保 
存 , 而 且 需 要 约定 在 私 钥 被 泄露 或 丢失 的 情况 下 的 应 急 处 置 方案 。 对 于 后 一 种 解决 争端 的 
方式 ,第 三 方 的 公正 性 和 可 信 度 是 必须 首先 考虑 的 因素 。 需 要 制定 双方 都 可 接受 的 选择 第 
三 方 仲裁 机 构 的 规程 ,以 及 对 第 三 方 机 构 必 须 遵守 保密 协议 的 约束 机 制 , 防 范 第 三 方 侵害 合 
约 双方 利益 的 风险 。 不 过 ,即使 通过 第 三 方 提 供 抗 抵赖 服务 ,在 数据 收发 双方 附加 使 用 数字 
签名 技术 仍 是 一 种 可 选择 的 抗 抵 赖 的 好 方法 。 

5. 密 钥 管 理 

密 钥 管理 对 确保 加 密 技术 的 有 效 实施 、 防 范 密 钥 泄漏 或 丢失 以 及 滥用 密码 技术 等 风险 
都 是 极为 重要 的 基础 性 工作 。 在 我 国 , 密 钥 管理 体系 已 有 技术 规范 ,规定 了 从 密 钥 种 子 产生 
到 密 钥 生成 分 发 注册、 使用、 注销 和 作废 的 整个 过 程 的 技术 标准 。 

决定 采用 加 密 方法 保护 信息 数据 的 组 织 除 需要 遵从 法 律 性 规定 履行 审批 手续 外 ,必须 
配备 符合 技术 规范 的 密 钥 管理 系统 。 

应 当 保 护 所 有 的 密 钥 防止 修改 .丢失 和 泄露 。 加 密 技 术 也 可 以 用 于 保护 密 钥 本 身 ,而 物 
理 保护 方法 则 可 以 保护 生成 .存储 的 密 钥 和 将 密 钥 存档 的 设备 。 

为 了 降低 密 钥 泄漏 的 风险 , 密 钥 应 当 规定 使 用 的 有 效 期 和 失效 期 , 即 密 钥 仅 在 一 段 有 限 
的 时 间 内 是 有 效 的 。 密 钥 有 效 时 间 段 的 长 短 取 决 于 加 密 措 施 适用 的 环境 以 及 系统 面临 的 密 
码 破译 风险 。 


6.8.4 开发 进程 对 变更 的 管理 


应 当 严 格 控制 项 目的 开发 环境 和 支持 环境 ,维护 应 用 系统 软件 开发 的 信息 安全 。 

负责 应 用 业务 系统 的 管理 人 员 也 应 当 负责 项 目 开发 或 支持 环境 的 安全 ,他 们 应 当 对 开 
发 进程 中 的 变更 进行 审核 ,以 确定 不 危害 系统 或 操作 环境 的 安全 。 

1. 变更 控制 流程 

为 了 将 应 用 系统 软件 的 缺陷 和 漏洞 降 至 最 小 程度 ,应 当 对 应 用 软件 系统 的 变更 进行 严 
格 的 审核 控制 。 为 此 ,应 当 制定 软件 系统 变更 的 控制 流程 ,并 对 控制 流程 的 执行 进行 监督 ; 
如 需 修 改 控制 流程 ,必须 经 过 论证 ,并 得 到 批准 。 

从 事 技术 支持 的 程序 员 只 能 访问 软件 系统 中 与 他 们 的 工作 有 关 的 那些 部 分 ,如 需 对 所 
访问 的 部 分 进行 变更 , 则 应 当 在 之 前 获得 对 拟 做 变更 的 正式 批准 ,并 将 变更 后 的 软件 副本 和 
有 关 变 更 的 书面 说 明 提 交 给 系统 管理 人 员 。 对 应 用 软件 的 变更 可 能 要 求 对 操作 规范 进行 同 
步 变更 。 对 变更 过 程 的 管理 措施 如 下 : 

。 制定 一 个 应 用 软件 系统 变更 的 授权 规程 ; 

。 制定 应 用 软件 变更 流程 ,定义 应 用 系统 软件 内 部 各 子 系统 之 间 对 变更 的 响应 措施 ; 
识别 所 有 需要 修改 的 计算 机 软件 、 信 息 数据库 和 硬件 ; 

。 在 变更 开始 之 前 获得 对 详细 变更 方案 的 正式 批准 ; 

。 确保 授权 实施 变更 的 人 员 接 受 变更 方案 ; 

。 将 变更 过 程 中 信息 服务 流程 受到 的 损失 最 小 化 ; 

。 确保 在 完成 每 次 变更 之 后 建立 更 新 后 的 电子 和 纸 质 的 完整 文档 ,并 将 新 、 旧 文档 分 

类 存档 ; 

。 确保 变更 的 软件 版 本 是 由 获得 授权 的 人 员 提 交 的 ; 

。 保 持 对 所 有 软件 更 新 的 版 本 控制 ; 

。 保 持 对 所 有 变更 请 求 的 跟踪 监管 ; 

。 确保 用 户 操作 流程 随 软件 系统 的 变更 同步 变更 ; 

。 确保 变更 后 的 软件 系统 在 运行 中 不 引入 新 的 不 可 接受 的 风险 ,不 对 应 用 业务 的 持续 

性 产生 过 大 影响 。 

组 织 的 应 用 信息 系统 应 当 维护 一 个 测试 新 软件 的 环境 。 该 环境 与 开发 和 生产 环境 相互 
隔离 ,测试 人 员 与 开发 人 员 .生产 人 员 和 运行 人 员 之 间 的 职能 不 相互 交叉 ,这 是 对 新 软件 变 
更 进行 控制 的 必要 措施 之 一 。 

2. 对 操作 系统 变更 的 技术 检查 

有 必要 定期 变更 操作 系统 。 对 于 现实 应 用 的 主流 操作 系统 ,所 谓 的 变更 是 版 本 更 新 和 
在 同一 版 本 下 安装 补丁 程序 。 当 操作 系统 发 生变 更 时 ,应 当 检 查 和 测试 应 用 系统 对 操作 系 
统 的 适应 性 ,以 确保 对 软件 应 用 系统 的 操作 程序 没有 产生 负面 的 影响 。 检 查 和 测试 过 程 应 
当 包括 以 下 内 容 ， 

"测试 新 版 操作 系统 或 在 安装 补丁 程序 后 不 引入 新 的 脆弱 性 ,必要 时 这 一 测试 工作 应 

由 国家 指定 的 有 能 力 的 第 三 方 机 构 进行 ,并 给 出 负责 任 的 检测 报告 ; 
。 检查 或 测试 应 用 系统 软件 的 运行 没有 受到 操作 系统 变更 的 损害 ; 
。 组 织 应 做 出 年 度 安排 ,提供 由 操作 系统 变更 所 导致 的 检查 和 系统 测试 所 需 的 人 力 和 
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财力 资源 ; 
。 提前 向 组 织 内 与 合作 方 有 关 的 人 员 通 告 操作 系统 的 变更 事宜 ,以 便 在 实施 变更 之 前 
进行 现状 检查 ; 

。 在 对 操作 系统 变更 的 同时 ,对 业务 持续 性 计划 进行 必要 的 变更 。 

3. 软件 包 变更 的 管理 

一 般 不 主张 对 购置 的 商业 软件 包 进 行 修改 ,因为 销售 商 不 支持 对 所 提供 的 软件 包 进 行 
修改 ,原因 有 很 多 ,但 都 很 简单 ,其 中 的 一 个 原因 是 商业 利益 和 版 权 保 护 。 其 实 , 商 业 化 的 软 
件 包 应 当 是 由 具有 相当 技术 能 力 的 团队 开发 的 ,一 般 信息 系统 的 程序 员 很 难 改 得 更 好 。 但 
也 存在 某 些 特殊 情况 的 确 需要 修改 软件 包 , 这 时 除 需 要 得 到 供应 商 的 技术 协助 外 ,还 应 当 注 
意 以 下 管控 措施 : 
尽 可 能 获得 销售 商 的 同意 或 技术 指导 ; 
对 的 确 需 变更 的 内 容 和 方法 进行 充分 论证 ; 
在 变更 实施 过 程 中 ,不 得 损害 软件 包 内 置 的 控制 措施 和 程序 调用 过 程 ,以 免 引 发 调 
用 障碍 或 新 的 安全 漏洞 ; 
对 变更 后 的 软件 包 进行 测试 ,并 确认 所 变更 部 分 没有 出 现 新 的 安全 漏洞 ,也 不 影响 
未 被 变更 部 分 的 功能 ,之 后 才能 投入 使 用 ; 
对 由 于 软件 包 的 变更 引起 的 应 用 软件 系统 的 业务 流程 变更 可 能 造成 的 负面 影响 进 
行 风 险 评估 ,如 评估 结果 出 现 不 可 接受 的 风险 ,应 重新 考虑 变更 的 内 容 或 方法 ; 

。 将 所 有 的 变更 形成 文档 ,以 便 在 必要 时 作为 原版 软件 的 升级 版 本 。 

4. 隐蔽 信道 和 特洛伊 代码 

隐蔽 信道 是 两 个 进程 共同 以 违反 计算 机 信息 系统 安全 策略 的 方式 完成 特定 通信 任务 的 
一 种 方式 ,实际 上 并 不 是 一 般 意义 上 的 通信 信道 。 例 如 ,一 个 进程 直接 或 间接 写 一 个 存储 地 
址 ,而 另 一 个 进程 直接 或 间接 读 该 存储 地 址 ; 有 时 一 个 进程 的 操作 掩护 另 一 个 进程 的 操作 ， 
有 时 一 个 进程 向 另 一 个 进程 传递 数据 ,或 相互 之 间 传 递 数 据 。 隐 项 信道 的 目的 是 以 一 种 隐 
项 方式 传输 信息 ,以 及 在 隐蔽 信道 中 嵌入 恶意 代码 ,例如 通过 改变 计算 机 系统 中 某 些 部 件 的 
访问 参数 达到 非法 访问 的 目的 ,或 通过 将 恶意 代码 嵌入 信息 流 中 送 入 计算 机 信息 系统 ,然后 
将 其 激活 。 

特洛伊 木马 程序 是 一 种 被 设计 成 不 易 发 现 ,但 又 不 是 信息 接收 者 或 用 户 所 需要 的 代码 ， 
对 系统 进行 非法 操作 的 程序 。 隐 蔽 信道 是 传送 特洛伊 木马 程序 的 通道 之 一 ,特洛伊 木马 程 
序 则 是 具有 某 种 功能 的 可 执行 程序 。 隐 项 信道 和 特洛伊 木马 都 不 是 朴 忽 大 意 或 系统 缺陷 所 
能 为 的 ,而 是 一 种 人 为 的 故意 行为 。 在 那些 担心 隐蔽 信道 或 特洛伊 代码 的 地 方 ,应 当 考 虑 以 
下 措施 : 


从 信誉 好 的 供应 商 处 购买 正版 软件 ; 

购买 程序 的 源 代 码 ,以 便 可 以 验证 ; 

使 用 评估 过 的 产品 ; 

在 启动 使 用 前 检查 所 有 的 源 代码 ; 

源 代码 一 旦 被 安装 ,必须 严格 控制 对 源 代码 的 访问 和 修改 ; 

使 用 具有 识别 进程 和 恶意 代码 的 检测 工具 ,对 未 经 允许 的 进程 和 恶意 代码 予以 
清除 ; 
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。 对 操作 关键 业务 应 用 系统 的 员工 加 强 技术 培训 和 职业 道德 教育 。 

5. 外 包 软 件 开发 的 管理 

组 织 在 决定 将 信息 系统 中 的 某 应 用 业务 软件 委托 给 组 织 外 的 开发 商 进行 开发 时 ,应 当 

考虑 以 下 控制 措施 : 

。 与 具有 技术 开发 能 力 和 有 良好 社会 信誉 的 服务 商 签订 软件 开发 的 委 外 合同 ; 

。 确 认 最 终 软 件 产品 的 所 有 权 和 知识 产权 ; 

。 和 审查 开发 商 提供 的 证 明 其 服务 资质 和 能 力 条 件 的 资料 的 合法 性 和 充分 性 ; 

。 规定 对 开发 过 程 的 质量 和 进度 进行 控制 的 方法 ,并 确定 具体 负责 人 ; 

。 以 与 合同 具有 同等 法 律 效力 的 附件 形式 对 开发 的 源 代码 的 质量 指标 予以 详细 列表 
说 明 ; 

。 确保 组 织 与 外 包 方 对 所 需 开 发 的 软件 的 功能 /性 能 需求 有 充分 的 一 致 性 的 理解 ; 

。 约定 开发 过 程 中 解决 纠纷 的 沟通 机 制 , 并 指定 联络 人 ; 

。 明确 规定 双方 在 软件 外 包 开 发 中 的 安全 管理 责任 ; 

。 在 外 包 软 件 验 收 和 安装 之 前 委托 具有 资质 的 第 三 方 对 所 开发 软件 进行 系统 性 测试 ， 
并 对 软件 缺陷 进行 专业 的 渗透 性 测试 

。 制定 所 开发 软件 经 试用 后 的 验收 规程 。 


6.9 业务 持续 性 管理 


为 了 维持 业务 持续 性 ,应 通过 (对 系统 、 组 件 和 各 类 数据 ) 实 施 备 份 和 灾难 恢复 计划 相 结 
合 的 模式 ,将 灾难 和 安全 事件 引起 的 业务 中 断 和 系统 破坏 减少 到 可 以 接受 的 程度 。 

应 当 对 灾难 、 安 全 事件 和 服务 中 断 的 后 果 进 行 评估 ,制定 和 实施 突 发 事件 应 急 计划 ,以 
确保 被 中 断 的 信息 服务 流程 可 以 在 预期 的 时 间 期 限 内 恢复 。 应 急 计划 应 成 为 整个 信息 系统 
管理 过 程 的 重要 组 成 部 分 。 

业务 持续 性 管理 还 应 包括 识别 在 此 之 前 遗漏 的 和 新 出 现 的 风险 ,经 过 评估 和 论证 后 提 
出 处 置 这 类 风险 的 策略 建议 。 

1. 分 析 业 务 持续 性 中 断 的 影响 

从 识别 可 能 引起 业务 过 程 中 断 的 事件 (如 设备 故障 .自然 灾害 和 安全 事件 等 ) 开 始 进行 
风险 评估 ,以 确定 引起 业务 中 断 造 成 的 影响 (根据 破坏 的 规模 和 恢复 的 时 间 判 断 )。 这 些 活 
动 的 开展 应 由 与 业务 持续 性 过 程 有 关 的 所 有 人 员 普 遍 参 与 。 

应 当 根 据 风险 评估 的 结果 制定 安全 需求 计划 ,以 决定 维持 业务 持续 性 的 总 体 策略 。 安 
全 需求 计划 在 制定 后 应 当 得 到 管理 层 的 认可 。 

2. 制定 和 实施 应 急 处 理 计划 

应 当 制 定 计 划 ,以 便 在 关键 性 部 件 出 现 故障 或 系统 遭遇 不 可 预期 的 突 发 事件 (包括 安全 
事件 .灾害 事件 等 ) 引 起 业务 过 程 中 断后 ,在 可 控 范围 和 预定 时 段 内 恢复 业务 系统 的 运行 , 因 
此 对 各 种 事件 引起 的 局 部 业务 中 断 和 系统 整体 运行 中 断 做 出 紧急 响应 是 业务 持续 性 计划 的 
核心 内 容 。 应 当 考 虑 以 下 管理 措施 : 

。 设 立 应 急事 件 处 理工 作 机 构 ,确定 应 急事 件 处 理 所 应 达到 的 目标 及 策略 原则 

”制定 一 个 信息 系统 中 所 有 员工 一 致 遵循 的 应 急事 件 处 理 流程 (包括 局 部 应 急 处 理 和 
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3. 


系统 整体 运行 的 应 急 处 理 ) ,规定 处 理 流程 中 的 岗位 责任 及 相应 的 监管 机 构 ; 

制定 应 急事 件 处 理 的 启动 规程 ; 

将 应 急事 件 处 理 的 启动 规程 和 处 理 流 程 制 成 标准 化 文档 

对 与 信息 系统 有 关 的 人 员 进 行 应 急事 件 管理 的 技术 培训 ,培训 内 容 因 岗 位 而 异 , 但 
必须 使 所 有 人 员 认 识 到 自己 的 岗位 在 整个 处 理 流 程 中 的 地 位 与 作用 以 及 与 其 他 岗 
位 之 间 的 关联 性 ; 

对 应 急事 件 处 理 流程 要 进行 测试 和 实战 演练 

监控 业务 持续 性 过 程 ,业务 流程 如 发 生变 更 , 则 应 急事 件 处 理 流程 也 要 变更 。 
业务 持续 性 计划 框架 


业务 持续 性 计划 包括 提供 不 间断 的 信息 和 信息 服务 的 过 程 管理 、 系 统 局 部 故障 的 识别 
和 处 理 、 系 统 服务 中 断 的 紧急 处 理 ,以 及 各 种 突 发 事件 的 应 急 处 置 和 业务 恢复 等 。 维 护 这 样 
一 个 独立 的 业务 持续 性 计划 框架 可 以 保证 所 有 计划 实施 的 一 致 性 以 及 测试 和 维护 计划 的 优 
先 顺 序 。 对 于 业务 持续 性 计划 中 的 每 一 部 分 都 应 当 明 确 规定 执行 的 条 件 以 及 执行 的 负责 
人 。 当 业务 持续 性 计划 出 现 新 的 变化 时 ,应 当 修正 已 建立 的 应 急 处 理 流程 。 建 立业 务 持续 
性 计划 框架 应 当 考 虑 以 下 内 容 : 


制定 完整 的 提供 不 间断 信息 服务 的 过 程 管理 规程 ,包括 对 业务 服务 系统 从 正常 启动 
到 整个 系统 运行 过 程 的 管理 和 维护 ,以 及 系统 出 现 异常 的 常规 性 处 置 ,直到 关闭 系 
统 的 所 有 操作 规范 ; 

预 设 启动 各 类 应 急 处 理 计 划 的 条 件 , 这 些 条 件 描述 每 一 个 计划 在 启动 之 前 所 应 判断 
的 技术 性 指标 ; 

应 急事 件 处 理 流程 应 描述 在 相应 的 事件 发 生 后 ,应 由 哪些 操作 岗位 的 人 员 采 取 哪 些 
操作 及 这 些 操作 应 遵守 的 逻辑 顺序 , 某 些 大 事故 和 事件 后 的 应 急 的 事件 处 理 流程 还 
要 包括 公共 关系 的 管理 安排 ,特别 是 与 公安 机 关 、 消 防 队 和 当地 政府 等 的 有 效 联络 
规范 ; 

财产 转移 计划 是 应 急 处 理 流程 的 组 成 部 分 ,描述 在 特别 紧急 的 情况 下 将 业务 活动 或 
支持 服务 必需 的 最 小 集 软 /硬件 信息 系统 转移 到 预备 的 临时 位 置 ,为 向 必要 的 服务 
对 象 恢复 服务 提供 物质 条 件 ; 

恢复 流程 是 应 急事 件 处 理 的 核心 部 分 ,描述 将 中 断 的 业务 系统 恢复 到 正常 的 业务 运 
营 状 况 必须 采取 的 一 系列 操作 及 操作 顺序 ; 

系统 维护 计划 规定 如 何 和 何 时 测试 业务 持续 性 以 及 维护 该 计划 的 定期 或 不 定期 
安排 ; 

安全 意识 教育 和 技术 培训 计划 是 业务 持续 性 计划 的 组 成 部 分 ,对 信息 系统 的 有 关 人 
员 理 解 业 务 持续 性 计划 并 自觉 执行 操作 规范 做 出 安全 意识 教育 和 技术 培训 的 规划 ，; 
职责 规范 描述 执行 各 部 分 计划 的 执行 人 和 主管 负责 人 ,对 业务 持续 性 计划 执行 总 责 
任 人 及 关键 部 分 计划 执行 人 应 当 指定 候选 人 。 


对 于 每 部 分 计划 都 应 当 配备 一 个 特定 的 负责 人 。 应 急流 程 、 转 移 流 程 和 恢复 流程 的 责 
任 应 当 划 入 相应 的 业务 资源 或 有 关 的 业务 过 程 的 负责 人 的 责任 范围 之 内 。 对 于 技术 服务 的 
安排 ,诸如 信息 处 理 和 通信 设施 等 的 技术 支持 ,通常 应 当 是 服务 供应 商 的 责任 ,但 组 织 应 在 
采购 合同 中 约定 其 维护 或 支持 责任 ,并 确定 联络 责任 人 。 


4. 


测试 、 维 护 和 重新 评估 业务 持续 性 计划 


1) 测试 计划 

业务 持续 性 计划 在 测试 时 可 能 出 现 失败 ,这 常常 是 由 于 不 正确 的 条 件 假 定 、 玻 忽 大 意 或 
人 员 变 动 造成 的 。 应 当 定期 测试 业务 持续 性 计划 ,以 确保 它们 是 最 新 的 和 有 效 的。 负责 系 
统 恢复 的 所 有 成 员 以 及 其 他 有 关 的 员工 应 参与 和 理解 测试 计划 。 

业务 持续 性 计划 的 测试 时 间 表 应 当 指明 如 何以 及 何 时 测试 计划 的 每 个 部 分 (直到 计划 
中 的 所 有 部 分 ) ,建议 以 遍历 方式 经 常 测试 计划 的 各 个 部 分 ,包括 : 


对 不 同 应 急 处 理 方案 进行 桌面 测试 (通过 使 用 业务 中 断 实例 来 探讨 业务 恢复 安排 的 
合理 性 和 实用 性 ); 

模拟 训练 (尤其 指 培训 事故 或 紧急 情况 之 下 ,担任 管理 职责 的 人 员 的 操作 规范 ,并 检 
验 应 急 方案 的 合理 性 和 实用 性 ); 

对 恢复 计划 中 的 实施 措施 进行 测试 (假设 一 个 恢复 实例 ,对 实施 信息 系统 的 快速 恢 
复 能 力 及 适应 性 进行 测试 ); 

在 备用 的 站 点 测试 恢复 流程 (在 远离 主 站 点 的 场所 进行 系统 恢复 操作 ,同时 进行 业 
务 处 理 ); 

测试 供应 商 的 设备 和 服务 (确保 外 部 提供 的 服务 和 产品 符合 合同 的 承诺 ); 

完整 的 演练 (测试 组 织 ` 员 工 ` 设 备 . 设 施 和 业务 过 程 在 服务 中 断 的 紧急 情况 下 的 应 
对 策略 和 措施 的 合理 性 、 实 用 性 )。 


2) 维护 业务 持续 性 计划 

通过 定期 的 检查 和 更 新 来 维护 业务 持续 性 计划 是 确保 业务 持续 性 计划 的 有 效 性 的 管理 
措施 。 如 发 现存 在 某 些 业务 安排 应 当 却 没有 反映 在 业务 持续 性 计划 的 情况 ,应 在 该 计划 的 
更 新 中 安排 进去 。 对 变更 的 控制 策略 应 包括 对 业务 持续 性 计划 的 变更 管理 ,对 变更 的 管理 
包括 新 设备 .操作 系统 的 升级 以 及 下 列 变动 : 


人 员 ; 

地 址 或 电话 号 码 ; 

业务 提供 策略 ; 

场所 设施 和 资源 ; 

法 律 法 规 ; 

承包 商 、 供 应 商 和 主要 客户 ; 

操作 顺序 (或 增加 一 些 、 取 消 一 些 ); 
风险 。 


通过 对 上 述 与 业务 持续 性 运营 有 关 的 要 素 发 生 的 变动 进行 跟踪 ,识别 出 与 变动 有 关 的 
影响 ,在 经 风险 评估 后 采取 有 针对 性 的 应 对 措施 ,是 维护 业务 持续 性 计划 的 基本 要 求 。 


6.10 约束 与 限制 


6.10. 


1 遵从 法 律 性 规定 


在 信息 系统 设计 、( 开 发 ) 实 施 、 运 行 .维护 和 报废 等 各 个 阶段 的 管理 中 必须 遵从 法 律 、 法 
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规 和 合同 的 规定 要 求 ,避免 触犯 所 在 国法 律 ( 包 括 刑事 .民事 ) 法 规 而 引起 纠纷 或 诉讼 ,以 及 
违反 合同 约定 的 赔偿 责任 。 

1. 法 律 适用 性 

对 于 信息 系统 适用 法 律 法规 的 正当 性 描述 以 及 有 关 合同 约定 条 款 的 法 律 性 依据 应 该 
制定 成 标准 文档 。 为 满足 相应 的 法 律 ,法规 要 求 而 采取 的 具体 的 控制 措施 和 对 应 的 个 人 责 
任 也 应 明确 地 予以 说 明 ,并 制定 成 标准 文档 。 

2. 知识 产权 

1) 版 权 

在 使 用 与 知识 产权 (如 版 权 . 设 计 权 、 商 标 权 ) 相 关 的 资料 时 ,应 确保 符合 法 律 ( 包 括 国际 
版 权 保护 公约 ) 规 定 。 侵 犯 版 权 的 行为 可 能 导致 民事 ,甚至 刑事 诉讼 。 

法 律 .法规 和 合同 的 要 求 可 能 限制 对 有 版 权 资 料 的 复制 。 在 某 些 情况 下 ,法 律 法规 可 
能 规定 只 有 组 织 自 己 开发 的 或 者 取得 了 许可 证 的 开发 者 提供 给 组 织 的 资料 才能 使 用 。 

2) 专用 权 

专用 软件 产品 通常 在 接受 许可 协议 下 才能 使 用 ,并 限制 在 特定 的 计算 机 上 使 用 , 且 要 求 
专用 软件 的 复制 品 只 能 用 于 备份 ,应 当 考 虑 下 面 的 控制 措施 : 

。 制订 获得 正版 软件 产品 的 管理 流程 

。 制订 正版 软件 的 使 用 规范 ,保证 正版 软件 产品 只 在 合法 范围 内 使 用 

。 提高 保护 软件 版 权 和 获取 策略 的 自觉 意识 ,认识 到 违反 规定 可 能 给 自己 和 组 织 的 信 

息 系统 造成 严重 后 果 ; 

。 保证 拥有 软件 许可 权 的 证 据 ; 

。 确保 只 有 授权 的 软件 和 取得 许可 证 的 产品 才能 在 系统 内 安装 ; 

。 制定 从 公共 网 络 (付费 和 免费 ) 下 载 的 软件 运行 于 系统 内 部 计算 机 的 控制 规程 ; 

。 加 强 对 组 织 获 取 的 正版 软件 使 用 的 监控 。 

3. 保护 组 织 的 记录 文档 

组 织 的 重要 记录 文档 应 该 得 到 妥善 保护 ,以 防止 泄露 .丢失 、 和 毁坏 和 算 改 。 就 像 支持 基 
本 业务 活动 的 安全 保护 一 样 , 记 录 文 档 也 需要 得 到 充分 的 安全 保护 。 典 型 的 记录 文档 例子 
是 一 些 被 作为 证 据 的 原始 记录 ,可 用 于 证 明 组 织 的 运营 是 遵守 法 律 法 规 的 ,或 者 在 发 生 民 
事 、 刑 事 诉讼 时 ,作为 呈 堂 证 供 , 或 者 供 股东 、 合 作 伙 伴 和 审计 人 员 确 认 组 织 的 经 营 状况 。 记 
录 文 档 的 保存 时 间 遵 从 国家 的 法 律 ,法规 规定 。 

记录 文档 可 划分 为 不 同 种 类 ,如 财务 记录 数据库 记 录 交易 日 志 、 操 作 日 志和 审计 日 志 
等 。 每 一 种 记录 文档 都 应 按 保存 期 限 选用 合适 的 存储 介质 (如 纸 .缩微 胶片 、 磁 介质 、 光 介质 
等 ) 。 在 选择 适合 存储 记录 文档 的 介质 时 应 考虑 维护 周期 及 成 本 。 

一 旦 选 定 存储 介质 ,处 理 规程 应 确保 在 整个 保存 期 间 对 数据 具有 可 访问 性 (存储 介质 和 
存储 格式 的 可 读 性 ) ,防止 由 于 技术 变化 造成 数据 (格式 不 兼容 ) 的 不 可 读 。 

选择 的 数据 存储 介质 应 保证 以 法 庭 可 接受 的 方式 进行 读 取 或 显示 。 

数据 存储 和 处 理 系 统 应 该 明确 地 标记 出 所 记录 的 类 型 和 内 容 , 以 及 法 律 ,法规 所 要 求 的 
保存 期 限 。 在 保存 期 届满 后 ,如 果 组 织 不 需要 这 些 记录 文档 ,应 该 以 符合 规范 的 方式 由 组 织 
自己 或 委托 第 三 方 予 以 彻底 销毁 。 

为 了 实施 上 述 控制 措施 ,以 下 步骤 应 该 在 组 织 内 采用 : 
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。 在 合适 的 范围 内 公布 保留 .存储 处理 和 处 置 记录 文档 与 信息 的 操作 规程 ; 

。 定期 或 不 定期 维护 关键 信息 资源 的 存储 介质 ; 

。 采取 恰当 的 安全 控制 措施 保护 重要 的 记录 数据 和 信息 不 被 泄露 .丢失 损坏 和 筑 改 。 

4. 数据 保护 和 个 人 信息 隐私 

对 涉及 个 人 的 数据 的 采集 和 传送 应 依法 进行 保护 。 这 类 保护 措施 可 能 对 收集 、 处 理 和 
传播 个 人 信息 设置 限制 ,并 且 对 将 个 人 信息 从 一 个 国家 传递 到 另 一 个 国家 设置 限制 。 

保护 组 织 的 数据 需要 依法 采取 适当 的 管理 控制 措施 。 通 常 ,最 好 的 做 法 是 任命 一 个 数 
据 保护 专员 ,制定 针对 管理 者 、 使 用 者 和 服务 供应 商 的 个 人 责任 和 应 该 遵守 的 特定 控制 
流程 。 

5. 防范 滥用 信息 处 理 设备 

组 织 的 信息 处 理 设备 是 为 了 实现 业务 目标 而 提供 的 ,管理 层 应 该 对 信息 处 理 设备 的 使 
用 进行 授权 。 在 没有 得 到 管理 层 的 同意 时 ,任何 出 于 非 业务 或 非 经 授权 目的 而 使 用 信息 处 
理 设备 的 行为 都 应 该 被 视 为 不 适当 的 或 滥用 设备 的 行为 。 如 果 这 类 行为 通过 监控 或 者 其 他 
途径 被 确认 ,应 该 引起 管理 者 的 注意 ,并 考虑 对 此 进行 适当 的 调查 或 惩罚 。 

使 用 监控 措施 的 合法 性 因 国 家 的 法 律 规定 而 有 所 区 别 ,并 且 可 能 要 求 事先 通知 员工 或 
者 得 到 他 们 的 同意 。 一 般 情况 下 ,在 实施 监控 措施 前 应 具有 法 律 许可 (包括 法 律 不 禁止 ) 的 
依据 。 

许多 国家 已 经 制订 或 者 正在 制订 防止 计算 机 或 信息 处 理 设 备 被 滥用 的 法 律 , 出 于 未 经 
授权 的 目的 而 使 用 计算 机 有 可 能 成 为 犯罪 行为 ; 要 教育 用 户 自觉 意识 到 他 们 允许 访问 的 范 
围 是 基本 的 安全 要 求 ; 明确 要 求 所 有 员工 及 第 三 方 用 户 除 非 经 过 授权 ,否则 对 信息 处 理 设 
备 的 任何 形式 的 访问 都 是 被 禁止 的 。 

应 该 在 计算 机 屏幕 上 显示 登录 警告 信息 ,指出 进入 系统 是 需要 授权 的 ,和 否则 是 不 允许 登 
录 访 问 的 。 合 法 用 户 必 须 确认 屏幕 上 提示 信息 的 含义 ,计算 机 内 的 安全 控制 机 制 将 限制 未 
获得 授权 登录 的 响应 信息 ,并 制止 其 继续 登录 过 程 。 

6. 使 用 密码 技术 的 限制 

国家 通过 法 律 法 规 或 其 他 措施 加 强 对 使 用 密码 技术 及 其 设施 的 管理 。 控 制 措施 如 下 : 

。 在 我 国 设立 国家 密码 管理 局 ,对 商用 密码 技术 及 其 设备 的 开发 .生产 、 销 售 和 使 用 进 

行 管理 ,管理 的 内 容 包 括 对 从 事 密码 技术 研究 、 设 备 开 发 .生产 、 销 售 的 企业 实行 经 
营 资 质 和 范围 的 审核 批准、 年 审 制度 ,对 商用 密码 的 使 用 实行 报批 制度 ; 

。 对 于 进口 和 出 口 具有 加 密 功 能 的 硬件 和 软件 产品 依法 严格 执行 许可 证 制度 ; 
在 设计 中 包含 加 密 功能 的 软件 和 硬件 产品 按 规定 申报 ,并 在 获 批准 之 后 才能 生产 和 
销售 。 

组 织 在 决定 信息 系统 中 应 用 密码 技术 或 设备 保护 信息 机 密 性 时 ,应 该 通过 咨询 确保 遵 
守 国 家 法 律 。 在 加 密 信息 和 加 密 设施 转移 或 跨越 到 另 一 个 国家 之 前 ,同样 应 该 考虑 遵从 出 
入 国 的 法 律 限制 。 

7. 证 据 收集 的 控制 

1) 证 据 的 可 用 规则 

收集 证 据 对 确定 一 个 人 或 组 织 的 操作 行为 的 真实 性 及 其 责任 是 必要 的 ,如 果 这 种 证 据 
是 用 于 在 组 织 的 内 部 追究 责任 人 ,那么 证 据 的 充分 性 应 通过 内 部 的 操作 规则 予以 描述 。 
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一 旦 一 个 人 或 组 织 的 操作 行为 涉及 违反 法 律 条 款 (无 论 是 民法 还 是 刑法 ), 所 提供 的 证 
据 应 该 符合 相关 法 律 或 者 该 案件 受理 法 院 规定 的 规则 。 一 般 来 讲 , 这 些 规 则 包括 : 

。 证 据 的 (真实 ) 可 信和 性 ,符合 法 庭 采信 规则 ; 

。 证 据 的 质量 和 完备 性 ; 

。 出 具 适 当 的 证 据 , 证 明 提供 给 法 庭 的 证 据 的 确 在 系统 存储 和 处 理 期 间 被 正确 和 一 致 

地 操作 过 。 
2) 证 据 的 可 信和 性 
为 了 保证 证 据 的 可 信和 性 ,组 织 应 该 确保 用 于 采集 证 据 的 产品 是 依从 已 公布 的 采信 证 据 
产品 的 标准 或 操作 规范 的 。 
3) 证 据 的 质量 和 完备 性 
为 了 保证 证 据 的 质量 和 完备 性 ,需要 严格 的 证 据 跟 踪 。 一 般 来 讲 , 这 种 跟踪 的 严格 性 在 
下 面 的 条 件 下 成 立 。 
。 对 于 纸 质 文档 : 原始 版 本 文档 应 该 被 安全 保管 ,并 且 对 证 据 发 现 者 、 发 现 的 地 点 发 
现 的 时 间 以 及 证 据 发 现 过 程 的 见证 人 予以 记录 ,所 有 的 调查 都 应 该 确保 原始 版 本 文 
档 没 有 被 算 改 ; 

。 对 于 存储 在 计算 机 介质 上 的 信息 : 应 该 将 任何 可 移动 介质 (例如 硬盘 或 者 移动 存储 
器 ) 中 的 信息 复制 到 固定 存储 设备 ,对 复制 过 程 中 的 所 有 操作 活动 的 日 志 及 介质 上 
信息 的 复制 品 予以 安全 保管 ,确保 其 不 被 修改 。 

一 个 事件 刚 出 现时 ,并 不 一 定 表明 可 能 会 引起 诉讼 活动 ,但 应 意识 到 事件 可 能 继续 扩大 
以 致 出 现 严重 后 果 的 可 能 性 ,这 就 存在 事件 演变 过 程 中 ,必要 证 据 遭 受 意 外 损坏 或 毁坏 的 风 
险 。 为 此 ,建议 大 中 型 信息 系统 的 管理 机 构 对 任何 可 能 引起 诉讼 的 事件 (不 论 事 件 大 小 或 引 
起 诉讼 的 概率 ) ,在 发 现 其 苗头 时 ,启动 对 证 据 的 收集 和 保全 的 控制 措施 。 


6.10.2 遵从 安全 策略 和 技术 标准 


信息 系统 安全 保障 的 必要 性 和 充分 性 应 该 定期 检查 ,确保 其 符合 组 织 的 安全 策略 和 国 
家 或 行业 的 技术 标准 。 

执行 检查 时 ,应 该 遵从 组 织 的 安全 策略 ; 对 信息 系统 的 安全 检查 应 该 重点 复核 安全 措 
施 实施 的 技术 标准 ,以 及 信息 系统 变更 后 的 安全 技术 措施 的 必要 性 和 充分 性 。 

1. 遵从 安全 策略 的 检查 

管理 者 应 该 确保 责任 范围 内 的 所 有 安全 规程 得 到 正确 实施 。 另 外 ,对 组 织 内 的 所 有 领 
域 应 该 进行 定期 检查 ,以 确保 遵从 安全 策略 。 检 查 对 象 如 下 : 

。 业务 应 用 系统 ; 

。 系统 供应 商 ; 

。 信 息 和 信息 资产 的 所 有 人 ; 

“用户 

。 管 理 人 员 。 

信息 系统 的 所 有 人 员 都 应 该 支持 (包括 协助 配合 和 接受 ) 经 常 性 检查 。 

2. 技术 标准 遵从 性 检查 

应 定期 检查 信息 系统 遵从 安全 技术 标准 的 正当 性 和 充分 性 。 技 术 标 准 遵 从 性 检查 涉及 
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操作 系统 .数据库 管理 系统 、 业 务 应 用 系统 、 通 信 设 施 和 运行 环境 的 安全 技术 保护 措施 的 合 
法 性 有效 性 。 这 种 类 型 的 遵从 性 检查 要 求 由 技术 和 管理 专家 主导 。 

遵从 性 检查 包括 文档 查阅 现场 检查 、 座 谈 、 调 查 以 及 渗透 测试 等 。 渗 透 测 试 可 以 邀请 
有 资质 的 第 三 方 机 构 或 特聘 专家 独立 进行 。 遵 从 性 检查 对 于 发 现 的 脆弱 性 和 验证 安全 技术 
控制 措施 的 有 效 性 是 必要 的 。 不 过 渗透 性 测试 规程 应 该 经 过 技术 论证 ,小 心 演练 ,以 免 渗透 
测试 危害 到 系统 的 安全 性 或 意外 地 引入 风险 。 

任何 技术 标准 遵从 性 检查 都 只 能 由 有 能 力 的 、 经 授权 的 专业 人 员 进 行 。 


6.10.3 系统 审计 方面 的 考虑 


审计 的 任务 是 依照 组 织 的 安全 策略 对 信息 系统 操作 行为 的 合法 性 、 合 规 性 进行 审查 并 
提出 改进 意见 ,依照 国家 法 律 和 安全 技术 规范 对 信息 系统 采取 的 安全 措施 的 正当 性 有 效 性 
和 充分 性 进行 审查 ,并 提出 处 理 意见 。 在 对 业务 应 用 系统 进行 审计 时 ,应 制定 周密 的 审计 方 
案 ; 应 采取 控制 措施 保护 审计 工具 ,以 防止 对 审计 工具 的 滥用 和 误 用 ,避免 对 审计 过 程 的 
干扰 。 

1. 对 审计 过 程 进行 控制 

应 该 仔细 规划 和 协商 审计 需求 ,制定 出 审计 方案 。 在 涉及 对 操作 系统 等 进行 检查 时 ,要 
避免 中 断 业务 流程 的 风险 ,为 此 应 该 遵守 以 下 措施 规范 

。 审计 项 应 根据 组 织 的 安全 策略 制定 ,并 得 到 信息 系统 所 有 者 和 管理 者 的 同意 ; 

。 对 业务 应 用 系统 的 审计 一 般 应 局 限于 对 软件 和 数据 的 只 读 访 问 ; 

。 必要 时 ,只 对 系统 文件 的 复制 件 进行 审计 。 在 审计 工作 完成 之 后 ,审计 人 员 应 该 和 
被 审计 的 有 关 人 员 一 起 对 其 予以 删除 或 销毁 ; 

对 审计 所 需 的 信息 系统 资源 应 该 进行 明确 的 标识 ,并 在 审计 工作 结束 后 保持 其 可 

用 性 ; 

。 当 审 计 过 程 中 涉及 对 特殊 的 或 额外 的 信息 资源 进行 处 理 时 ,应 进行 标识 ,并 获得 信 
息 资 源 管理 人 的 同意 ; 

。 对 审计 活动 进行 过 程 监督 ,并 全 程 记录 , 制 成 标准 文档 ; 

对 审计 过 程 所 涉及 的 工作 流程 予以 详细 记录 ,连同 审计 责任 人 、 被 审计 人 的 信息 一 

起 形成 文档 。 

2. 对 审计 工具 的 保护 

对 审计 工具 软件 的 访问 (如 调用 审计 软件 或 读 取 审计 数据 ) 必 须 严 格 予 以 控制 ,以 防止 
对 审计 工具 软件 的 滥用 、 误 用 和 对 审计 信息 的 修改 。 这 些 工具 软件 应 在 进行 标识 后 ,与 开发 
工具 和 操作 系统 隔离 保管 ,不 应 保留 在 磁带 库 或 用 户 区 内 。 如 无 法 做 到 隔离 , 则 应 给 予 特别 
的 保护 控制 措施 。 


6.11 习题 与 思考 题 


1. 信息 系统 在 建设 期 间 可 能 需要 第 三 方 参与 ,举例 说 明 第 三 方 参与 可 能 带 来 的 信息 安 
全 风险 以 及 如 何 防 范 或 控制 这 些 风 险 ? 
2. 某 组 织 的 信息 系统 中 有 一 些 需要 与 其 他 组 织 共享 的 信息 和 处 理 设备 ,举例 说 明 该 组 
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织 应 对 被 共享 的 这 部 分 信息 系统 资产 进行 哪些 安全 管理 措施 ? 

3. 某 组 织 的 信息 系统 将 所 有 业务 数据 委托 给 电信 服务 商 管理 或 放 在 云端 服务 器 中 ,请 
问 该 组 织 在 与 电信 服务 商 或 云端 服务 商 的 合作 中 应 考虑 哪些 安全 风险 以 及 如 何 防范 和 控制 
风险 ? 

4. 对 信息 进行 分 类 在 信息 安全 管理 中 有 哪些 好 处 ? 举例 说 明 在 信息 系统 定 级 管理 中 
如 何 使 用 信息 分 类 技术 。 

5. 按 员工 聘用 前 、 上 岗 在岗、 解聘 4 个 阶段 分 别 说 明 从 信息 安全 管理 角度 应 做 哪些 考 
核 .审查 .培训 和 监管 工作 ? 

6. 举例 说 明 信 息 系统 中 安全 区 域 、. 安 全 域 和 安全 交接 区 在 概念 上 的 区 别 。 

7. 从 保护 信息 和 信息 处 理 设备 的 角度 举例 说 明 桌 面 清空 和 屏幕 清 屏 的 意义 ,以 及 应 有 
怎样 的 操作 行为 习惯 才能 做 到 对 信息 和 信息 处 理 设备 的 安全 保护 。 


APPENDIXA 


与 本 书 有 关 的 术语 附录 A 


access control( 访 问 控制 , 存 取 控制 ) 

限制 与 管理 有 用户、 程序、 进程 或 计算 机 网 络 中 其 他 系统 访问 被 保护 信息 
系统 的 资源 的 过 程 , 这 是 管理 和 限制 使 用 计算 机 系统 或 网 络 信息 系统 中 资源 
的 措施 。 一 个 组 织 或 机 构 为 保证 网 络 信息 系统 内 的 信息 资源 免 于 未 授权 的 
访问 ,一般 由 系统 管理 员 基 于 用 户 ( 也 包括 程序 .进程 或 计算 机 网 络 中 的 其 他 
系统 等 ,下 同 ) 的 标识 符 和 它们 在 一 些 预先 定义 的 用 户 组 中 的 成 员 关 系 , 采 用 
软 /硬件 措施 强制 控制 用 户 及 用 户 的 代理 可 访问 的 对 象 ( 如 服务 、 目 录 、 文 件 
和 数据 流 等 ) ,以 及 可 进行 的 操作 (如 只 读 或 可 写 ) 等 。 这 种 限制 与 管理 活动 称 
为 访问 控制 ,如 果 控 制 是 明确 地 施加 于 存储 系统 中 的 数据 ,也 可 称 为 存 取 控 制 。 

访问 控制 防止 实体 对 资源 的 未 授权 使 用 ,包括 防止 以 未 授权 方式 使 用 某 
一 资源 。 这 种 服务 对 开放 系统 互 连 的 信息 系统 中 可 访问 资源 的 非 授权 使 用 
提供 限制 能 力 。 这 些 可 访问 资源 可 以 是 经 开放 系统 互 连 协议 访问 的 开放 系 
统 互 连 资 源 或 非 开 放 系 统 互 连 的 资源 。 

为 了 判断 一 个 实体 的 可 访问 权 , 访 问 控制 机 制 可 以 使 用 该 实体 已 鉴别 的 
身份 ,或 使 用 有 关 该 实体 的 相关 信息 (例如 它 与 一 个 已 知 的 实体 集 的 从 属 关 
系 ) ,或 使 用 该 实体 的 权力 。 如 果 这 个 实体 试图 使 用 非 授 权 的 资源 ,或 者 以 不 
正当 方式 使 用 授权 资源 ,那么 访问 控制 功能 将 拒绝 这 一 访问 企图 ,并 可 能 向 
系统 管理 员 发 出 告警 信息 ,或 将 其 访问 行为 记录 下 来 作为 安全 审计 跟踪 的 线 
索 。 对 于 无 连接 数据 传输 ,访问 控制 机 制 只 能 强加 于 发 送 者 , 当 其 发 现 发 送 
者 违反 访问 控制 策略 时 ,将 拒绝 原 发 的 连接 。 

访问 控制 机 制 可 以 建立 在 下 列 一 种 或 多 种 手段 之 上 。 

。 访问 控制 信息 库 : 保存 实体 的 访问 权限 ,这 些 信息 可 以 由 授权 中 心 保 

存 或 由 正 被 访问 的 实体 保存 ,这 些 信 息 的 形式 可 以 是 一 个 访问 控制 
表 或 者 等 级 结构 或 分 布 式 结构 的 矩阵 ,还 要 预先 假定 对 实体 的 鉴别 
已 得 到 保证 ; 

。 鉴别 信息 : 例如 口令 ,对 这 一 信息 的 占有 和 出 示 , 证 明正 在 进行 访问 

的 实体 已 被 授权 ; 
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。 权力: 对 它 的 占有 和 出 示 证 明 有 权 访 问 由 该 权力 所 规定 的 实体 或 资源 ,权力 应 是 不 
可 伪造 的 ,并 以 可 信赖 的 方式 进行 传送 ; 

。 安全 标记 : 当 与 一 个 实体 相关 联 时 ,安全 标记 可 用 来 表示 同意 或 拒绝 访问 ,通常 根 
据 安全 策略 而 定 ; 

。 试图 访问 的 时 间 ; 

。 试图 访问 的 路 由 ; 

。 访问 持续 期 。 

访问 控制 机 制 可 应 用 于 通信 联系 中 的 一 端点 或 应 用 于 任 一 中 间 点 ,涉及 原 发 点 或 任 一 
中 间 点 的 访问 控制 是 用 来 决定 发 送 者 是 否 被 授权 与 指定 的 接收 者 进行 通信 ,或 是 否 被 授权 
使 用 所 要 求 的 通信 资源 。 

在 无 连接 数据 传输 目的 端 上 的 对 等 级 访问 控制 机 制 的 要 求 在 原 发 点 必须 事先 知道 ,还 
必须 记录 在 安全 管理 信息 库 (SMIB) 中 。 

ACL(Access Control List, 访 问 控制 表 或 存 取 控制 表 ) 

信息 系统 中 主体 的 所 有 访问 权力 的 集合 ,或 对 受 控 对 象 的 访问 控制 策略 的 集合 ,或 与 某 
对 象 相关 联 、 标 识 了 可 访问 该 对 象 的 所 有 主体 及 访问 权力 的 一 种 列表 。 绝 大 多 数 业 务 应 用 
系统 的 运行 都 允许 对 服务 有 选择 地 使 用 。 访 问 控制 表 就 是 对 服务 进行 控制 的 手段 ,由 它 来 
允许 或 拒绝 访问 。 

active attack( 主 动 攻击 ,积极 攻击 ) 

一 类 恶意 的 攻击 。 在 这 类 攻击 中 ,攻击 者 以 各 种 方式 (如 中 断 、 修 改 、 删 除 、 伪 造 、 添 加 、 
重 放 \ 乱 序 \ 制 造 病 毒 等 ) 破 坏 信息 或 系统 。 主 动 攻 击 的 一 个 重要 的 特点 是 改变 被 攻击 对 象 
的 状态 ,请 比较 passive attack。 

administrative security( 管 理 安全 ) 

为 信息 和 信息 系统 资源 提供 适当 等 级 的 保护 而 建立 的 一 些 管 理 上 的 限制 .操作 过 程 、 责 
任 范围 规定 以 及 附加 控制 等 。 

application gateway( 应 用 网 关 ) 

建立 在 网 络 应 用 层 上 、 处 于 内 部 网 络 和 外 部 网 络 的 边界 上 的 网 关 。 这 种 应 用 网 关 设 备 
不 允许 外 部 网 络 与 内 部 网 直接 通信 ,沿途 用 一 系列 代理 服务 器 过 滤 流 入 或 流出 网 络 的 信息 。 
用 户 可 以 把 应 用 网 关 想象 成 一 种 安全 代理 ,为 内 部 和 外 部 的 两 端 代言 ,而 不 允许 它们 直接 访 
问 ,从 而 达到 隔离 ,保护 目的 。 参 见 Application-Level Firewall。 

Application-Level Firewall( 应 用 级 防火 墙 ) 

由 应 用 网 关 及 有 关 代 理 服务 软件 构成 的 防火 墙 系统 ,又 称 双 穴 网 关 防 火 墙 。 在 这 种 防 
火 墙 系统 中 ,通过 维持 完整 的 TCP 连接 状态 和 进程 提供 所 需 的 服务 。 应 用 级 防火 墙 常常 对 
通信 进行 重 编 址 ,以 至 于 发 送出 去 的 分 组 看 起 来 并 不 是 从 内 部 主机 发 出 的 ,而 是 由 防火 墙 发 
出 的 。 参 见 application gateway。 

arbitrated digital signature( 仲 裁 数 字 签 名 ) 

一 类 数字 签名 。 根 据 接收 者 验证 签名 的 方式 可 将 数字 签名 分 为 真 数字 签名 和 仲裁 数字 
签名 两 类 。 在 采用 仲裁 数字 签名 方式 时 ,签名 者 把 签名 消息 经 由 被 称 为 仲裁 的 可 信和 的 第 三 
方 发 送 给 接收 者 ,接收 者 不 能 直接 验证 签名 .签名 的 合法 性 是 通过 仲裁 者 作为 媒介 来 保 
证 的 。 


附录 A 与 本 书 有 关 的 术 | 


asset( 资 产 ) 

需要 保护 的 信息 或 信息 系统 资源 。 资 产 是 信息 系统 中 对 一 个 组 织 具 有 价值 的 任何 东西 
和 事物 (包括 硬件 的 或 软件 的 ,有 形 的 或 无 形 的 ,货币 化 的 或 非 货 币 化 的 ,等 等 ) ,其 中 构成 信 
息 系统 的 资源 要 素 是 最 直接 的 资产 。 

asymmetric cryptographic system( 非 对 称 密码 体制 ) 

含有 两 个 相关 变换 的 密码 体制 ,一 个 是 用 公开 密 钥 定义 的 所 谓 的 公开 变换 , 另 一 个 是 用 
私有 密 钥 定义 的 所 谓 的 秘密 变换 。 非 对 称 密码 体制 具有 “根据 公开 变换 来 确定 秘密 变换 在 
计算 上 是 不 可 行 的 ”特性 。 

asymmetric key( 非 对 称 密 钥 ) 

在 非 对 称 密码 体制 中 , 密 钥 成 对 出 现 ,加 密 用 的 密 钥 和 解密 用 的 密 钥 不 同 , 而 且 从 其 中 
一 个 密 钥 推导 出 另 一 个 密 钥 在 计算 上 是 不 可 行 的 。 

asymmetric key system( 非 对 称 密 钥 体制 , 非 对 称 密 钥 系统 ) 

一 种 密码 体制 或 系统 。 它 使 用 一 个 加 密 算法 (或 密 钥 ) 进 行 加 密 , 而 使 用 另 一 个 解密 算 
法 (或 密 钥 ) 进 行 解密 。 公 开 密 钥 密码 体制 是 非 对 称 密 钥 体制 的 一 个 用 例 : 加 密 算法 或 密 钥 
是 公开 的 ,解密 算法 或 密 钥 是 秘密 的 。 

attack responses( 攻 击 响应 ) 

当 在 网 上 探测 到 攻击 时 ,要求 系统 进行 响应 并 立即 采取 行动 。 其 响应 形式 取决 于 攻击 
形式 .等 级 或 相应 的 过 滤 准 则 ; 所 有 这 些 都 取决 于 系统 的 安全 策略 和 安全 管理 。 例 如 ,一 般 
的 安全 系统 (或 安全 管理 工具 ) 可 提供 以 下 形式 的 攻击 响应 : 自动 消除 基于 TCP 连接 的 攻 
击 , 将 攻击 特征 记录 到 数据 库 ,通过 电子 邮件 通报 给 安全 管理 器 , 重 放 攻 击 特征 ,以 实时 方式 
将 攻击 特征 送 到 用 户 接口 ,等 等 。 

audit( 审 计 ) 

为 检测 整个 系统 的 安全 (特别 是 数据 的 机 密 性 、 完 整 性 和 可 用 性 ) 的 有 效 性 和 充分 性 而 
对 设备 .程序 .活动 和 进程 进行 的 检测 和 评估 ,以 及 对 其 中 发 生 的 通信 或 操作 事件 进行 跟踪 
监视 .分 析 与 报告 的 过 程 。 

audit trail( 审 计 跟 踪 ) 

系统 活动 的 流水 记录 。 该 记录 按 事件 从 始 至 终 的 路 径 、 时 间 顺 序 重 现 \ 审 查 和 检验 每 个 
事件 或 活动 出 现 的 环境 及 其 合法 性 。 

authentication( 鉴 别 ) 

一 种 和 身份 有 关 的 事务 ,用 于 确认 一 个 实体 所 宣称 的 身份 的 过 程 。 鉴 别 既 应 用 于 实体 
又 应 用 于 信息 本 身 ,如 验证 用 户 、 设 备 和 其 他 实体 的 身份 的 合法 性 或 数据 的 完整 性 。 鉴 别 通 
常 被 划分 成 实体 鉴别 和 数据 源 鉴别 两 大 类 。 例 如 ,用 户 在 登录 进入 一 个 多 用 户 或 网 络 系统 
时 ,鉴别 处 理 系统 将 用 户 名 和 口令 与 授权 的 用 户 列表 进行 比较 。 如 果 匹 配 , 则 该 用 户 为 合法 
用 户 ,并 允许 访问 ,其 访问 范围 在 许可 列表 中 加 以 规定 。 对 用 户 的 这 种 检测 过 程 称 为 用 户 鉴 
别 。 又 如 ,在 报 文 传输 中 ,通过 在 报 文 中 增加 一 个 专门 用 于 鉴别 的 字段 ,接收 方 可 用 已 知 的 
特殊 编码 对 报 文 进行 验证 ,以 确定 该 报 文 在 传输 过 程 中 是 否 被 修改 或 遭 到 破坏 , 称 为 报 文 
鉴别 。 

authorization( 授 权 , 授 予 权 限 ) 

授予 用 户 ,程序 或 进程 对 信息 系统 资源 的 访问 权 , 包 括 允 许 基于 访问 权 的 访问 。 在 
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典型 的 情况 下 ,权限 由 系统 管理 员 设 置 ,决定 授予 一 个 用 户 、 程 序 或 进程 访问 哪些 计算 机 
资源 的 资格 或 权力 ,而 由 系统 按 一 定形 式 的 鉴别 标识 符 ( 如 用 户 名 和 口令 ) 进 行 鉴 别 和 
backup( 备 份 ) 

构成 信息 系统 的 资源 要 素 的 替换 品 ( 例 如 复制 品 `. 元 余 组 器 件 ) ,以 及 对 信息 系统 运行 的 
系统 性 数据 或 业务 进程 的 动态 数据 的 实时 复制 。 当 信息 系统 在 出 现 故 障 不 能 或 中 断 运行 
时 ,或 系统 组 (器 ) 件 或 数据 丢失 \ 损 坏 和 不 可 用 时 ,用 来 将 信息 系统 或 数据 恢复 到 中 断 前 的 
状态 。 这 些 备份 在 任何 信息 系统 的 运行 环境 中 都 是 关键 的 安全 措施 之 一 。 

backup and recovery( 备 份 与 恢复 ) 

信息 系统 管理 的 一 个 策略 。 通 过 日 常 的 数据 和 系统 备份 ,在 发 生 软件 或 硬件 故障 而 导 
致 信息 系统 (部 分 或 整体 ) 不 可 用 时 ,该 策略 可 以 使 用 数据 和 系统 的 备份 将 信息 系统 或 其 组 
件 还 原 到 最 初 备份 时 的 状态 。 

back door( 后 门 ,秘密 通道 ) 

绕 过 安全 控制 而 获得 对 程序 、 进 程 或 系统 访问 的 方法 。 后 门 通常 是 程序 员 在 开发 阶段 
创建 的 ,一 般 用 于 修改 、 调 试 或 维护 ,或 软件 在 线 升级 等 。 用 于 调试 或 维护 目的 的 后 门 应 该 
在 程序 正式 发 行 前 删除 ,或 将 其 封闭 的 方法 移交 给 用 户 , 且 不 得 泄露 给 第 三 方 。 如 果 后 门 被 
其 他 人 知道 ,或 在 正式 发 行 前 没有 删除 ,就 会 成 为 安全 隐患 。 

bastion host( 堡 公主 机 ) 

一 个 可 以 承受 攻击 的 硬件 系统 , 它 安装 于 外 来 攻击 者 可 进入 被 保护 网 络 的 通道 上 。 堡 
侄 机 常常 是 防火 墙 功能 的 补充 组 成 部 分 ,或 者 是 “外 部 ”Web 服务 器 ,或 者 是 公共 访问 系统 。 
一 般 来 说 ,堡垒 机 都 运行 某 种 形式 的 通用 操作 系统 (例如 Unix\VMS、Windows NT 等 ) ,而 
不 是 基于 ROM 的 或 坚固 的 操作 系统 。 由 于 堡垒 主机 能 坚固 地 抵御 攻击 ,并 作为 “对 外 窗 
口 "在 防火 墙 之 外 (例如 非 军事 区 ) 使 用 ,因此 它 常 常 成 为 系统 的 牺牲 品 。 

CA(Certificate Authority, 颁 证 机 构 或 证 书 机 构 ) 

一 个 可 靠 和 可 信 的 权威 机 构 。 它 发 行 安全 证 书 并 确保 证 书 的 可 信 性 ,或 证 明 一 个 用 户 
和 它们 的 公开 密 钥 的 身份 。 在 信息 安全 策略 的 语 境 中 ,证 书 机 构 是 一 个 被 委托 的 实体 ,可 以 
生成 含有 一 类 或 多 类 与 安全 相关 数据 的 安全 证 书 。 

compromising emanations( 泄 漏 发 射 ) 

一 种 无 意 的 与 数据 有 关 的 或 载 有 敏感 信息 内 容 的 电磁 信号 辐射 。 这 种 电磁 波 一 旦 被 截 
获 和 分 析 , 就 可 能 将 传输 、 加 工 或 处 理 的 信息 泄露 给 未 授权 者 。 

configuration management( 配 置 管 理 ) 

ISO( 国 际 标准 化 组 织 ) 为 了 对 OSI( 开 放 系 统 互 连 ) 网 络 进行 管理 而 定义 的 5 种 网 络 管 
理 模式 之 一 。 配 置 管理 子 系统 负责 配置 网 络 的 初始 化 参数 ,并 检测 和 判断 网 络 的 状态 。 

control zone( 控 制 区 ) 

包括 多 个 用 于 处 理 敏感 信息 的 设备 ,并 在 有 效 的 物理 和 技术 的 控制 之 下 ,以 防止 未 授权 
的 进入 或 泄漏 的 网 络 空间 。 

countermeasure( 对 抗 [措施 ]) 

任何 减少 系统 脆弱 性 和 威胁 以 降低 系统 风险 的 行为 .设备 ,规程 .技术 或 其 他 措施 。 对 
抗 措施 可 在 信息 系统 的 任何 层级 采用 ,包括 程序 模块 .设备 .系统 或 设施 /环境 。 


附录 A 与 本 书 有 关 的 术 


countermeasures and controls( 对 策 和 控制 ) 

对 策 ,控制 和 安全 措施 通常 在 安全 领域 作为 同义词 使 用 。 对 策 和 控制 指使 用 规程 和 技 
术 阻 止 安全 事件 的 发 生 , 检 测 正在 发 生 或 已 经 发 生 的 事故 ,以 及 提供 对 安全 事故 做 出 反应 或 
从 中 恢复 的 能 力 ; 安全 措施 可 能 是 附加 或 增强 用 户 的 口令 ,对 关键 设备 和 数据 的 备份 ,能 将 
具体 的 行为 与 操作 人 员 关 联 起 来 的 审计 跟踪 ,或 其 他 任何 适当 的 技术 或 规程 。 

cryptanalysis (密码 分 析 ( 学 )) 

@ 密码 学 中 的 一 个 分 支 学 科 , 它 和 密码 学 的 另 一 个 分 支 学 科 一 一 密码 编码 学 是 两 个 相 
互 对 立 、 相 互 依存 .相辅相成 .相互 促进 的 学 科 。 

@ 它 是 企图 挫败 密码 术 ( 更 一 般 地 说 是 信息 安全 ) 的 数学 技术 学 科 。 在 密码 学 中 , 它 是 
对 密码 体制 、 密 码 体制 的 输入 /输出 关系 进行 分 析 , 以 便 推 断 出 机 密 性 变量 (包括 明文 在 内 的 
人 敏感 数据 ) 。 

@ 在 密码 学 中 ,在 不 知道 加 密 算 法 所 使 用 的 密 钥 的 情况 下 ,将 已 被 加 密 的 消息 转换 成 
明文 要 做 的 步骤 和 操作 称 作 密码 分 析 , 有 时 又 称 作 密码 破译 (codebreaking) 。 

@ 密码 分 析 依 赖 于 自然 语言 的 多 余 度 , 使 用 “分 析 一 一 假设 一 一 推断 一 一 证 实 ( 或 否 
定 )" 的 四 步 作 业 方 法 ,基本 数学 工具 是 统计 分 析 数学 演绎 和 归纳 。 

cryptographic key( 密 钥 ) 

密 钥 是 一 个 秘密 参数 ,或 一 组 秘密 参数 ,或 一 个 秘密 符号 ,或 一 个 秘密 符号 序列 。 密 钥 
用 来 控制 加 密 / 解 密 运算 ; 密 钥 是 密码 体制 (算法 ) 中 的 可 变 因素 ; 密 钥 仅 被 拥有 它 的 人 可 
知 、 可 用 。 

cryptographic techniques( 密 码 技术 ) 

通常 是 指 对 信息 (包括 话音 .数据 和 图 像 等 ) 加 以 保护 所 用 的 密码 编码 / 译 码 ( 加 /解密 ) 
技术 。 一 般 将 密码 技术 划分 成 两 类 , 即 对 称 密 钥 密码 技术 和 非 对 称 密 钥 密码 技术 。 

cryptography( 密 码 编码 学 ,密码 术 ) 

@ 密码 编码 学 是 密码 学 (cryptology) 的 一 个 分 支 学 科 ,研究 与 信息 安全 (例如 数据 机 密 
性 .数据 完整 性 .实体 鉴别 及 数据 源 鉴 别 等 ) 有 关 的 数学 技术 学 科 。 

@ 密码 编码 学 是 包含 数据 变换 的 原理 ,方法 和 工具 的 一 门 学 科 , 这 种 数据 变换 的 目的 
是 为 了 隐藏 数 据 的 信息 内 容 , 阻 止 对 数据 的 自 改 以 及 防止 未 经 许可 使 用 数据 。 

@ 密码 编码 学 是 论述 使 明文 变 成 不 可 理解 形式 的 艺术 和 技巧 。 

@ 密码 编码 学 是 密 写 的 科学 和 研究 科目 。 一 种 密码 就 是 一 种 密 写 的 方法 ,利用 它 可 以 
把 明文 变换 成 密 文 。 把 明文 变换 成 密 文 的 过 程 称 为 加 密 ; 其 逆 过 程 ,把 密 文 变换 成 明文 的 
过 程 称 为 解密 ; 加 密 和 解密 都 是 用 一 个 或 多 个 密 钥 和 算法 来 实现 的 。 

cryptology( 密 码 学 ) 

密码 学 包含 密码 术 和 密码 分 析 两 个 学 科 的 领域 。 

data integrity( 数 据 完整 性 ) 

信息 系统 中 的 数据 和 其 原始 数据 相同 .并 未 遭受 未 授权 的 偶然 或 恶意 的 生成 增加、 
删除 . 自 改 、 插 入 或 破坏 时 所 具有 的 一 种 特性 。 数 据 完整 性 有 两 个 方面 , 即 单个 数据 单 
元 或 字段 的 完整 性 以 及 数据 单元 流 或 字段 流 的 完整 性 。 一 般 来 说 ,用 来 提供 这 两 种 类 
型 完整 性 服务 的 机 制 是 不 相同 的 ,尽管 没有 第 一 类 完整 性 服务 ,第 二 类 服务 是 无 法 提 
供 的 。 
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data protection( 数 据 保护 ) 

确保 数据 的 机 密 性 .完整 性 和 可 用 性 的 过 程 。 

data security( 数 据 安 全 ) 

保护 数据 免 妥 偶然 的 或 恶意 的 创建 \ 增 加、 删除 、 自 改 、 插 入 等 破坏 或 泄露 。 

digital signature( 数 字 签 名 ) 

一 种 基于 加 密 和 秘密 授权 代码 的 个 人 鉴别 方法 ,等 效 于 手写 签名 ,用 于 “签署 "电子 文 
档 。 数 字符 名 实际 上 是 一 个 把 数字 形式 的 消息 和 某 个 始 发 实体 相 联 系 的 数据 串 , 把 它 附加 
在 一 个 消息 或 完全 加 密 的 消息 上 ,以 便于 消息 的 接收 方 能 够 鉴别 消息 的 内 容 , 并 证 明 消息 只 
能 始 发 于 所 声称 的 发 送 方 。 

disaster( 灾 害 ,灾难 ) 

任何 使 一 个 组 织 或 机 构 不 能 进行 其 关键 业务 活动 的 事件 。 相 似 的 术语 有 business 
interruption ,outage catastrophe 等 。 

disaster plan( 灾 难 (应 急 ) 计 划 ) 

作为 信息 安全 策略 的 一 部 分 ,灾难 应 急 计划 规定 了 信息 系统 遭遇 灾难 事件 或 服务 中 断 
后 的 紧急 反应 、 备 份 操作 和 恢复 等 活动 规则 ,以 达到 恢复 系统 正常 运行 的 目的 。 

DMZ(De-Militarized Zone, 非 军事 区 ) 

一 般 指 处 于 军事 对 抗 双方 之 间 的 缓冲 区 ,这 里 指 一 段 不 安全 的 LAN( 局 域 网 ) 或 WAN 
广域网) 区域。 通过 这 个 网 段 将 被 保护 网 络 与 外 部 不 可 信和 网 络 隔离 开 来 ,形成 对 抗 之 间 的 
缓冲 区 。 通 过 安装 防火 墙 ,被 保护 网 络 可 以 容忍 DMZ ,或 与 它们 相连 接 。 

encipherment( 加 密 , 译 成 密码 ) 

对 数据 进行 密码 变换 产生 密 文 的 过 程 。 加 密 既 能 为 数据 提供 机 密 性 ,也 能 为 通信 业务 
流 信 息 提供 机 密 性 ,并 且 可 以 成 为 其 他 安全 机 制 的 一 部 分 或 起 补充 作用 。 

加 密 算法 可 以 是 可 逆 的 ,也 可 以 是 不 可 道 的 ,可 道 加 密 算法 有 下 面 两 大 类 。 

@ 对 称 ( 即 加 /解密 使 用 相同 的 秘密 密 钥 ) 加 密 : 对 于 这 种 加 密 , 知 道 了 加 密 密 钥 也 就 
意味 着 知道 了 解密 密 钥 ,反之 亦 然 ; 

@ 非 对 称 ( 即 加 密 和 解密 使 用 不 同 的 秘密 密 钥 和 公开 密 钥 ) 加 密 : 对 于 这 种 加 密 , 知 道 
了 加 密 密 钥 并 不 意味 着 也 知道 解密 密 钥 ,反之 亦 然 ,这 种 系统 的 这 样 两 个 不 同 的 密 钥 有 时 称 
为 “ 公 钥 ”与 “ 私 钥 ”。 

Encrypt( 加 密 ) 

用 一 个 密码 体制 把 明文 变 成 不 可 理解 形式 ,变换 的 结果 称 作 密 文 。 

Ethics( 道 德 规范 ) 

依靠 信念 、 教 育 、 社 会 与 论 和 传统 习惯 等 约束 条 件 对 人 与 人 和 人 与 社会 之 间 的 关系 进行 
规范 和 自我 行为 调整 的 准则 的 集合 。 它 是 个 人 或 社会 活动 经 验 的 产物 ,是 一 个 基础 性 的 为 
大 多 数 人 所 公认 的 共识 ,在 做 决定 时 用 来 判断 对 与 错 。 遗 憾 的 是 ,在 当今 开放 互连网 络 环境 
下 ,道德 规范 却 因 环境 变化 发 生 错位 。 例 如 , 某 些 人 可 能 认为 冯 入 别人 的 房间 是 错误 的 ,但 
却 不 认为 间 和 别人 的 计算 机 系统 内 部 是 错误 的 。 

entity authentication( 实 体 鉴 别 ) 

确认 要 求 被 鉴别 实体 就 是 其 所 声称 的 实体 的 过 程 。 
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附录 A 0 
event( 事 件 ) 


在 网 络 信息 系统 中 出 现 的 对 其 信息 和 系统 构成 要 件 的 非常 规 操 作 或 未 预期 的 重大 
情况 。 

event testing( 事 件 检 测 ) 

与 安全 有 关 的 事件 检测 包括 对 安全 事件 的 检测 ,也 可 以 包括 对 “正常 "事件 的 检测 ,例如 
一 次 成 功 的 登录 (或 注册 ) 或 登录 失败 。 对 与 安全 有 关 的 事件 的 检测 可 由 OSI 内 部 含有 的 
安全 机 制 来 做 ,也 可 由 监控 与 审计 工具 来 做 ,构成 一 个 事件 的 技术 规范 由 事件 处 置 管理 程序 
来 维护 。 对 各 种 安全 事件 的 检测 可 能 引起 下 列 一 个 或 多 个 动作 : 

。 在 本 地 报告 这 一 事件 ; 

。 远程 报告 这 一 事件 ; 
对 事件 作 记 录 ; 

。 进行 恢复 。 

这 种 安全 事件 的 例子 如 下 : 

。 特定 的 安全 侵害 ; 

。 选择 的 特定 事件 ; 

。 对 事件 发 生 次 数 计数 的 溢出 (超出 预定 数值 。 

事件 检测 的 技术 规范 需要 考虑 对 事件 报告 与 事件 记录 的 格式 ,以 及 为 了 传输 事件 报告 
与 事件 记录 所 使 用 的 语法 和 语义 的 定义 。 

evidence( 证 据 ) 

用 于 解决 纠纷 与 确定 责任 的 信息 体 或 数据 集合 ,或 与 其 他 数据 链接 用 于 解决 纠纷 与 确 
定 责任 的 数据 (集合 ) 。 

failover( 故 障 自 动 备份 ) 

在 集群 网 络 系统 (有 两 台 或 多 台 服 务 器 互 连 的 网 络 ) 中 自动 将 出 现 故 障 的 资源 或 服务 转 
移 到 备用 的 资源 或 由 备份 系统 继续 提供 服务 的 过 程 。 出 故障 时 ,自动 备份 功能 将 在 检测 到 
服务 器 .网络 适配器 、 磁 盘 驱 动 器 和 其 他 设备 上 的 任何 故障 后 ,自动 切换 到 备用 部 件 上 ,以 保 
证 为 用 户 提供 不 间断 的 服务 。 

failure control( 故 障 控 制 ) 

在 信息 系统 中 用 于 查 出 硬件 和 软件 故障 ,并 提供 故障 恢复 或 故障 弱化 的 方法 。 

failure management( 故 障 管理 ) 

由 ISO( 国 际 标准 化 组 织 ) 为 OSI( 开 放 式 系统 互 连 ) 网 络 的 管理 所 定义 的 5 种 网 络 管理 
模式 之 一 。 故 障 管理 试图 确保 网 络 故障 被 检测 出 来 ,并 将 其 控制 。 

failure tolerance( 容 错 ) 

在 发 生 诸如 电源 不 足 或 硬件 故障 等 灾难 性 事件 或 故障 时 ,计算 机 或 操作 系统 能 够 确保 
不 丢失 数据 ,并 且 当 前 运行 状态 不 会 受到 破坏 的 一 种 处 置 能 力 。 它 可 以 通过 配置 诸如 后 备 
电源 、 备 用 硬件 和 软件 等 方法 实现 。 在 容错 网 络 中 ,系统 可 以 不 丢失 数据 而 继续 运行 ,也 可 
以 关机 后 重新 启动 ,并 在 重新 启动 时 ,恢复 故障 发 生 时 正在 运行 的 所 有 处 理 进程 。 

filter( 过 滤 ,过 滤器 ) 

在 网 络 中 按照 信息 流 或 数据 包 的 某 些 特征 (如 源 地 址 .目的 地 址 或 协议 等 ) 或 模式 对 网 
络 信息 流 进行 筛选 ,并 且 根 据 已 建立 的 准则 确定 是 否 转发 或 放弃 该 信息 流 , 这 种 处 理 过 程 称 
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为 过 滤 。 完 成 过 滤 任 务 的 可 以 是 一 种 设备 ,也 可 以 是 一 个 程序 ,或 程序 的 一 组 特性 ,或 一 种 
模式 或 掩 码 , 称 为 过 滤器 。 例 如 ,一 个 电子 邮件 过 滤器 可 以 使 用 户 滤 除 来 自 某 些 站 点 的 电子 
邮件 。 

firewall( 防 火 墙 ) 

防火 墙 以 逻辑 隔离 方式 保护 内 部 网 络 的 安全 ,不 严格 地 说 ,防火 墙 指 拒绝 未 授权 的 外 部 
用 户 访 问 内 部 特定 主机 或 服务 ,或 者 未 授权 的 内 部 用 户 访 问 外 部 网 络 的 任何 设备 和 方法 。 
稍 严 格 地 说 , 指 强 加 于 两 个 网 络 之 间 的 边界 处 ,保护 内 部 网 络 免 遭 来 自 外 部 网 络 的 威胁 ,或 
控制 内 部 用 户 未 经 许可 对 外 连接 的 系统 或 系统 组 合 。 例 如 ,配置 了 过 滤 功 能 的 路 由 器 或 访 
问 服务 器 ,或 几 个 这 样 的 路 由 器 或 访问 服务 器 ,专门 用 作 内 网 与 外 网 之 间 的 隔离 或 缓冲 。 这 
种 系统 或 系统 组 合 实际 上 是 对 内 、 外 网 络 之 间 的 通信 进行 监控 的 系统 ,其 采用 的 主要 技术 包 
括 数据 包 过 滤 .应 用 网 关 和 代理 服务 器 等 。 

防火 墙 有 许多 种 类 ,一般 可 以 分 为 两 大 类 , 即 网 络 层级 和 应 用 层级 的 防火 墙 。 网 络 层级 
的 防火 墙 拦截 所 有 尝试 进出 网 络 的 报 文 包 ,扫描 它 的 地 址 标识 以 确认 连接 源 地 或 宿 地 ,并 按 
照 安 全 策略 规则 予以 判断 ,决定 转发 还 是 拒绝 转发 这 个 报 文 包 ; 应 用 层级 的 防火 墙 由 一 个 
和 网 络 隔离 的 计算 机 设备 担任 ,由 它 执行 各 种 应 用 服务 的 代理 。 当 防火 墙 外 的 计算 机 提出 
要 求 连 线 服务 时 ,代理 服务 器 (proxy server) 会 主动 按 过 滤 规则 执行 这 项 要 求 。 对 于 要 求 对 
内 连接 的 计算 机 而 言 ,无 法 和 防火 墙 内 的 计算 机 直接 相连 ,防火 墙 只 是 一 个 具有 判断 能 力 的 
转 接 设 备 。 

由 于 防火 墙 的 作用 实际 上 是 将 被 保护 的 网 络 对 外 屏蔽 ,因而 不 能 防范 来 自 被 保护 网 络 
内 部 的 安全 威胁 。 

Firewalls and Separation of Duties( 防 火 墙 和 职责 分 离 ) 

防火 墙 和 职责 分 离 本 是 两 个 不 同 的 概念 ,但 却 具 有 相似 的 功能 结构 和 功能 互补 性 : 防 
火 墙 是 一 种 隔离 技术 措施 , 它 提供 访问 活动 、 系 统 或 系统 部 件 之 间 的 隔离 ,以 便 限 制 不 期 望 
的 访问 或 将 系统 缺陷 对 外 隐蔽 起 来 , 且 对 其 他 访问 活动 或 系统 不 产生 影响 (例如 将 局 域 网 与 
因特网 隔离 ,并 不 影响 局 域 网 内 部 的 系统 ); 职责 分 离 则 提供 系统 内 各 个 职能 之 间 的 隔离 ， 
其 目的 是 保证 没有 一 个 独立 的 操作 实体 (通过 单独 行动 ) 可 以 穿 透 整个 应 用 系统 ,但 这 种 隔 
离 并 不 影响 各 自负 责 的 那 部 分 系统 的 操作 能 力 。 

恰恰 是 这 两 个 不 同 的 概念 共同 用 在 安全 控制 中 ,一 方面 作为 技术 上 的 隔离 措施 加 强 了 
基础 安全 策略 , 另 一 方面 通过 操作 职能 的 分 离 控制 对 系统 高 风险 的 操作 活动 ,避免 单个 操作 
实体 穿 透 整个 应 用 系统 的 事件 。 

flood( 泛 滥 , 淹 没 , 充 斥 ) 

充斥 或 占 满 信息 系统 端口 ,缓存 区 及 内 存 区 等 信息 系统 资源 ,例如 使 TCP/IP 系统 连接 
队列 溢出 ,从 而 导致 系统 拒绝 正常 服务 。 

gateway of application layer( 应 用 层 网 关 ) 

能 在 应 用 层 上 实现 协议 转换 或 作为 应 用 程序 代理 的 网 关 。 

Goals(( 安 全 ) 目 标 ) 

信息 系统 的 安全 目标 与 系统 所 属 组 织 的 安全 目标 是 完全 一 致 的 。 信 息 系统 的 安全 目标 
集中 体现 为 两 大 指标 , 即 信 息 保 护 和 系统 保护 。 

@ 信息 保护 : 保护 所 属 组 织 的 有 价值 信息 和 维系 与 系统 运行 有 关 的 信息 的 机 密 性 、 完 
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整 性 、 可 用 性 和 可 控 性 。 

@ 系统 保护 : 保护 所 属 组 织 的 运行 和 职能 实现 的 技术 系统 的 可 靠 性 .完整 性 和 可 
用 性 。 

信息 系统 最 低 安 全 目标 的 确定 基于 信息 系统 运行 的 可 靠 性 、 完 整 性 .可 用 性 ,信息 数据 
的 机 密 性 ,完整 性 、 可 用 性 和 可 控 性 ,取决 于 各 种 安全 威胁 实施 后 的 社会 .政治 和 经 济 风 险 的 
大 小 ,而 社会 政治、 经 济 风险 的 大 小 与 信息 系统 所 属 的 组 织 属性 .社会 功能 /职能 ,以 及 所 拥 
有 的 信息 的 敏感 度 和 社会 影响 面 的 大 小 直接 相关 。 

group account( 组 账号 ) 

一 组 用 户 共 同 使 用 的 账号 。 给 一 组 用 户 分 配 一 个 用 户 账号 ,使 该 组 全 体 成 员 拥 有 相同 
的 权力 和 许可 。 

group digital signature( 群 数字 签名 ) 

由 Chuam 和 Van Heijst 提出 的 一 种 数字 签名 方案 , 它 允 许 群 中 的 各 个 成 员 以 群 的 名 
义 匿名 地 签发 消息 。 群 数字 签名 的 特点 如 下 : 

Q@ 只 有 群 的 成 员 才 能 代表 那个 群 签发 消息 。 

@ 签名 的 接收 者 能 验证 它 是 那个 群 的 一 个 合法 签名 ,但 不 能 揭示 它 是 群 中 的 哪 一 个 成 
员 产 生 的 。 

@ 在 后 来 发 生 争端 的 情况 下 ,借助 于 群 成 员 或 一 个 可 信和 的 机 构 能 识别 出 群 里 的 那个 签 
名 者 。 一 个 群 数字 签名 主要 由 签名 算法 、 验 证 算法 和 识别 算法 3 个 算法 组 成 。 这 种 签名 的 
一 个 实用 的 例子 是 投标 ,在 这 里 ,成 员 是 每 个 提交 投标 的 公司 , 群 是 所 有 提交 投标 的 公司 。 

Hackers/Crackers( 黑 客 / 骇 客 ) 

中 文 黑 客 为 hacker 的 音译 , 取 意 hacker 则 指 那些 喜欢 留 下 痕迹 的 人 ,后 被 美国 与 论 界 
用 来 特 指 那些 对 计算 机 技术 、 计 算 机 编程 和 因特网 特别 感 兴趣 , 且 有 和 较 高 专业 知识 和 相当 操 
作 技 能 ,热衷 于 程序 设计 和 计算 机 新 奇 应 用 的 人 。 这 些 人 喜欢 检查 操作 系统 和 其 他 程序 的 
源 代码 ,以 和 弄 明 白 它们 是 如 何 运行 的 。 他 们 通过 运用 高 超 的 编程 技巧 使 计算 机 的 性 能 发 挥 
到 尽 可 能 的 程度 。 后 来 ,此 词 被 转 义 用 来 指 那些 利用 计算 机 系统 的 安全 脆弱 性 和 设计 缺陷 
直接 或 绕 过 控制 进入 、 阻 找 、 罕 视 他 人 计算 机 系统 的 计算 机 编程 高 手 。 黑 客 凭借 自己 掌握 的 
计算 机 技术 专门 刺探 信息 系统 中 存在 的 安全 漏洞 , 非 授权 地 访问 计算 机 网 络 ,窥视 别人 在 计 
算 机 网 络 上 的 秘密 ,阻止 信息 系统 的 正常 运行 , 搞 恶 作 剧 式 的 数据 破坏 ,甚至 进行 更 严重 的 
计算 机 犯罪 。 多 数 黑客 的 目的 仅仅 是 为 了 炫 炮 自 己 的 技能 或 恶作剧 。 政 府 、 军 队 企业 、 大 
学 和 研究 机 构 的 机 密 性 资料 都 在 他 们 的 窥视 之 列 , 有 的 黑客 甚至 刺探 个 人 隐私 。 黑 客 中 有 
的 人 截取 银行 账号 , 盗 取 巨额 资金 ; 有 的 次 用 通信 号码, 使 电信 公司 和 客户 蒙受 巨大 损失 ; 
有 的 黑客 在 搜索 到 企业 的 重要 秘密 后 ,甚至 可 能 对 企业 采取 绑架 式 威胁 ,以 获取 非法 利益 。 
此 类 黑客 的 存在 对 计算 机 系统 的 安全 与 保密 构成 极 大 威胁 。 但 是 ,也 有 一 些 过 去 的 黑客 “ 改 
那 归 正 , 归 正 后 有 的 甚至 成 为 计算 机 安全 系统 的 专业 设计 人 员 ( 当 然 , 对 是 否 雇用 从 前 是 黑 
客 的 人 做 安全 人 员 ,业界 有 分 歧 ) 。 

总 之 ,黑客 作为 一 个 群体 不 应 简单 地 用 某 一 个 或 某 几 个 具体 属性 去 定义 。 但 是 ,从 建立 
信息 系统 的 有 效 秩 序 和 维护 社会 秩序 来 看 ,不 接受 管理 和 不 受 法 律 约束 的 黑客 行为 是 不 能 
容忍 的 。 

在 因特网 术语 中 ,一 般 认为 黑客 不 是 贬义 词 。 那 些 专 门 从 事 不 良 行为 的 人 不 是 一 般 意 
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义 上 的 黑客 ,而 被 称 为 Cracker( 骇 客 ) 。 

heterogeneous network( 异 构 网 络 ) 

由 不 同 三 商 生产 的 网 络 设备 组 成 的 网 络 ,这 些 网 络 设备 运行 不 同 的 协议 ,并 且 在 很 多 情 
况 下 支持 不 相似 的 功能 或 应 用 ,不 同 厂 商 的 设备 的 协议 不 兼容 。 

homogeneous network( 同 构 网 络 ) 

早期 由 网 络 厂商 按 自己 的 网 络 交换 协议 设计 的 单一 结构 的 网 络 ,这 种 网 络 内 的 所 有 网 
络 设备 只 运行 该 厂商 提出 的 网 络 交换 协议 ,不 同 的 网 络 之 间 不 兼容 。 

I&A(Identification & Authentication ,标识 与 鉴别 ) 

主体 是 其 身份 可 被 鉴别 的 实体 。 标 识 将 可 辨别 标识 符 (identifier) 与 某 一 主体 联系 起 
来 ,以 与 其 他 主体 加 以 区 别 。 一 个 主体 可 以 拥有 或 使 用 一 个 或 多 个 用 于 将 自身 与 其 他 主体 
相 区 别 的 辨别 标识 符 。 鉴 别 是 利用 实体 的 标识 符 验证 主体 所 宣称 的 身份 的 过 程 ,得 到 这 类 
验证 的 主体 身份 称 为 已 鉴别 身份 。 

ID(IDentifier ,标识 符 ) 

用 作 标 识 的 唯一 的 文本 字符 串 ,机 器 通过 它 可 以 读 出 识别 信息 ,然后 由 系统 对 实体 进行 
鉴别 。 

identification(( 身 份 ) 识 别 ) 

指定 的 用 户 向 系统 出 示 身 份 证 明 的 过 程 。 这 是 为 防止 假冒 攻击 采用 的 一 种 技术 ,使 得 
一 个 用 户 能 获得 另 一 个 用 户 ( 申 请 者 ) 身 份 的 确 是 其 声称 的 身份 的 保证 。 其 最 常用 的 技术 是 
由 一 个 验证 者 检验 一 个 消息 的 正确 性 ,从 而 说 明 申请 者 拥有 一 个 与 其 真实 身份 有 关 的 秘密 。 

information system( 信 息 系 统 ) 

g@O 一 种 系统 ,由 为 了 收集 ` 处 理 、 传 输 和 存储 表达 用 户 信 息 的 数据 而 组 织 起 来 的 人 、 机 
器 和 方法 组 成 ,而 不 管 它 是 自动 的 或 手动 的 。 

@ 任何 远程 通信 和 与 计算 机 有 关 的 仪器 或 互 连 系统 ,用 于 获取 、 存 储 、 操 纵 、 管 理 、 移 
动 . 控 制 .显示 、 交 换 、 转 换 、 传 输 或 接收 音频 .图 形 、 图 像 视 频 和 数据 ,并 且 包 含 软件 . 带 有 微 
程序 的 固件 和 硬件 。 

@ 在 开放 互 连 的 网 络 环境 下 , 指 用 于 信息 收集 、 处 理 , 存 储 ,发 送 、 显 示 、 传 输 和 交换 的 
整个 通信 基础 设施 ,以 及 组 织 、 人 员 数据、 通信 协 议 、 应 用 程序 和 运行 环境 的 总 和 。 

INFOSEC(Information System Security, 信 息 系 统 安全 (体系 )) 

确保 以 电磁 信号 为 主要 形式 的 ,在 计算 机 网 络 系统 中 进行 获取 、 处 理 、 存 储 、 传 输 和 利用 
的 信息 内 容 , 在 各 个 物理 位 置 .逻辑 区 域 . 存 储 和 传输 介质 中 ,处 于 动态 和 静态 过 程 中 的 机 密 
性 、 完 整 性 ,可 用 性 、 可 审查 性 和 抗 抵赖 性 的 ,与 人 、 网 络 、 环 境 有 关 的 技术 和 管理 保障 措施 的 
总 和 。 这 里 的 人 指 信息 系统 的 主体 ,包括 各 类 用 户 、 支 持 人 员 以 及 技术 管理 和 行政 管理 人 
员 ; 网 络 则 指 以 计算 机 、 网 络 互 连 设备 传输 介质 及 其 操作 系统 、 通 信 协 议和 应 用 程序 所 构 
成 的 物理 的 和 逻辑 的 完整 体系 ; 环境 则 是 系统 稳定 和 可 靠 运 行 所 需要 的 保障 系统 ,包括 建 
筑 物 、 机 房 .动力 保障 与 备份 以 及 应 急 响 应 与 恢复 系统 。 

从 系统 过 程 与 控制 角度 来 看 ,信息 系统 安全 就 是 信息 在 存 取 、 处 理 、 集 散 和 传输 中 保持 
其 机 密 性 ,完整 性 、 可 用 性 、 可 审计 性 和 抗 抵赖 性 的 系统 辨识 ,控制 的 策略 和 过 程 。 

integrity( 完 整 性 ) 

一 种 提供 开放 系统 互 连 保护 的 服务 , 它 防止 信息 系统 的 信息 或 资源 被 未 经 授权 进行 新 
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建 、 插 入 、 算 改 、 增 加 或 删除 等 。 数 据 完整 性 保护 是 完整 性 保护 的 具体 实例 。 参 见 data 
integrity。 

Internet( 因 特 网 ,国际 互联 网 ,网 际 ) 

“Internet”( 注 意 大 写 “1”) 是 世界 上 最 大 的 互联 网 。 因 特 网 由 ARPANET 的 一 部 分 演 
化 而 来 ,有 一 段 时 间 被 称 为 DARPA 互联 网 或 ARPA 网 络 , 它 是 用 TCP/IP 协议 族 连接 的 
国际 间 的 互联 网 ,由 美国 的 MILNET、NSFnet 和 CREN 等 网 络 以 及 遍布 全 球 的 无 数 区 域 
网 和 园区 网 组 成 。 由 于 使 用 统一 的 TCP/IP 协议 族 , 使 它们 成 为 标准 统一 的 ,协调 的 网 络 。 
因特网 是 网 络 和 网 关 的 大 集合 。 在 物理 上 是 由 一 些 网 关 和 协议 把 多 个 报 文 分 组 交换 网 互相 
连接 起 来 的 一 个 集合 。 这 个 集合 使 得 这 些 网 络 在 逻辑 功能 上 形成 一 个 单一 的 、 大 型 的 虚拟 
网 络 。 因 特 网 提供 了 通用 连接 性 和 三 层 网 络 服务 , 即 不 可 靠 的 非 连接 报 文 分 组 投递 \ 可 靠 的 
全 双 工 式 数 据 流 投递 ,以 及 建立 在 这 两 种 服务 上 的 应 用 层 服 务 ,例如 电子 邮件 。 因 特 网 最 早 
联通 了 美国 的 许多 大 学 、 研 究 实 验 室 和 政府 机 构 , 是 一 个 三 级 分 层 , 由 中 枢 网 络 ( 即 
Ultranet) ,中 级 网 络 ( 即 NEARnet) 和 存根 网 络 组 成 。 现 在 这 个 术语 用 来 表示 采用 TCP/IP 
协议 族 的 全 球 互联 网 , 它 与 全 世界 各 种 局 域 网 络 互 连 互通 ,并 且 形 成 了 以 实际 生活 应 用 为 基 
础 的 研究 和 标准 化 的 “文化 ”。 很 多 前 沿 网 络 技术 都 来 源 于 因特网 社团 。 注 意 ,不 要 把 
Internet 与 一 般 术语 internet 相 混淆 。 

internet( 互 联网 ) 

internet( 注 意 小 写 "i”) 是 internetwork 的 缩写 ,强调 的 是 使 用 互 连 技术 连接 的 网 络 ,不 
要 与 Internet 相 混 淆 。 

intrusion detection( 入 侵 检 测 ) 

人 侵 检测 是 一 种 对 入 侵 信息 系统 的 行为 进行 检测 的 技术 ,其 目的 是 检测 和 识别 对 系统 
的 人 侵 与 攻击 行为 ,以 便 及 时 发 现 正在 非 授权 进入 受 保护 系统 的 入 侵 者 。 人 入侵 检测 范围 包 
括 误 用 .人 侵 或 非法 行为 。 常 见 的 入 侵 检测 技术 有 两 种 类 型 ,一 种 是 异常 检查 , 它 通 过 对 流 
量 统计 的 偏差 检测 出 不 正常 的 行为 或 安全 策略 的 缺陷 ; 另 一 种 是 模式 匹配 , 它 将 用 户 活动 
和 一 系列 已 知 的 入 侵 与 攻击 行为 特征 进行 比 对 分 析 , 从 而 发 现 入侵 和 攻击 行为 。 

key( 密 钥 ) 

在 密码 术 中 , 密 钥 是 一 系列 控制 加 密 、 解 密 操 作 的 参数 或 符号 。 参 见 cryptographic 
key。 

keys to incident prevention( 防 范 事件 的 关键 要 素 ) 

一 些 信 息 安全 事件 是 可 以 避免 的 ,条 件 是 信息 系统 中 的 相关 人 员 在 他 们 的 日 常 工作 中 
牢记 下 面 3 个 基本 要 素 : 

Q@ 安全 意识 ,个 人 应 该 意识 到 他 们 用 于 作业 的 资产 的 价值 以 及 与 此 对 应 的 威胁 和 脆弱 
性 的 本 质 ; 

@ 个 人 必须 坚持 与 维护 已 建立 的 安全 措施 (例如 磁盘 扫描 改变 口令 、 实 施 备份 等 ) ; 

@ 在 操作 中 遵守 规程 ,小 心 谨慎 。 

LAN(Local Area Network ,局 域 网 ) 

一 种 覆盖 一 个 相对 较 小 物理 区 域 的 高 速 、 低 错 率 的 数据 网 络 。 这 里 的 高 速率 通常 为 每 
秒 几 十 兆 位 到 每 秒 几 千 兆 位 ; 覆盖 面积 较 小 , 指 跨度 一 般 为 几 十 至 几 千 米 。LAN 把 工作 
站 、 外 围 设备 终端 和 其 他 网 络 设 备 连 接 在 一 个 建筑 物 内 或 其 他 有 限 的 地 理 区 域内 。 高 速 是 
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因为 这 个 网 络 只 覆盖 一 个 小 区 域 , 网 络 中 的 信号 通信 协议 可 以 被 优化 。LAN 的 技术 标准 规 
定 了 在 OSI 模型 的 物理 层 的 电气 规范 和 数据 链 路 层 中 的 信号 分 帧 及 传输 方式 。 以 太 网 、 
FDDI( 光 纤 分 布 式 数据 接口 ) 和 令 牌 环 (Token Ring) 等 是 广泛 应 用 的 LAN 技术 。 请 比较 
MAN 和 WAN。 

laws and Regulations( 法 律 法 规 ) 

建立 基本 控制 /安全 目标 必须 遵循 的 法 制 性 规范 的 集合 。 

least privilege( 最 小 特权 ,最 低 特 权 ) 

g@ 在 设计 操作 系统 时 ,以 保留 最 小 系统 特权 为 准则 ,这 样 可 限制 授权 的 级 别 , 获 得 授权 
只 允许 进行 有 限 操 作 , 从 而 减少 具有 高 级 特权 的 进程 或 用 户 执 行 授 权 操 作 而 引发 安全 问题 
的 机 会 。 它 要 求 系统 赋予 操作 主体 的 授权 必须 遵循 最 小 特权 限制 的 原则 。 这 一 原则 的 应 用 
可 限制 事故 、 错 误 、 未 授权 使 用 带 来 的 损害 。 

@ 在 信息 系统 安全 中 ,任何 实体 (用 户 \ 管 理 员 、 进 程 \ 应 用 和 系统 等 ) 仅 有 该 主体 需要 
完成 其 被 指定 任务 所 必需 的 特权 ,从 而 可 以 尽量 避免 将 信息 系统 资源 暴露 在 侵袭 之 下 的 可 
能 ,并 减少 被 侵袭 所 造成 的 破坏 。 

logging( 日 志 ( 记 录 )) 

在 信息 系统 中 指 对 发 生 在 系统 处 理 设备 和 安全 保护 设备 运行 中 的 操作 或 通信 事件 过 程 
的 流水 记录 。 例 如 ,记录 发 生 在 防火 墙 或 网 络 设备 上 的 有 关 事 件 的 流水 过 程 。 日 志 基 本 上 
是 按 事件 发 生 的 时 间 顺 序 记录 的 , 当 累 积 到 一 定 阶段 时 再 予以 分 类 整理 。 

MAN(Metropolitan Area Network , 城 域 网 ) 

一 种 用 来 服务 一 个 近似 于 大 城市 区 域 的 数据 网 。 城 域 网 是 在 一 个 城市 范围 内 运行 的 网 
络 ,或 者 在 物理 上 使 用 城市 基础 电信 设施 的 网 络 , 其 规模 小 于 广域网 ,但 大 于 局 域 网 。 这 种 
网 络 以 更 高 速度 (通常 为 每 秒 几 百 兆 位 到 每 秒 几 千 兆 位 ) 并 足以 覆盖 整个 城市 地 域 的 规范 运 
行 。 请 比较 LAN 和 WAN。 

media( 介 质 , 媒 体 ) 

medium 的 复数 形式 ,进行 数据 保存 和 信号 传输 的 各 种 物理 空间 。 常 见 的 电子 数据 存 
储 介质 有 各 种 存储 器 件 、 磁 带 、 光 盘 、 软 盘 和 硬盘 存储 装置 (固定 的 和 便携 式 的 ) ,常见 的 网 络 
传输 介质 有 双 绞 线 、 同 轴 电 缆 、 光 纤 电 绕 和 大 气 ( 通 过 它 进行 微波 、 激 光 和 红外 传输 )。 它 有 
时 也 叫 物理 介质 (physical media) 。 

Need to Know( 应 知 ) 

在 信息 系统 中 为 培训 和 学 习 操作 规程 而 制订 的 理论 知识 和 方法 的 基本 要 求 集 ,涉及 两 
个 方面 : 首先 ,完成 操作 所 需 访问 的 信息 及 访问 规程 ; 第 二 ,为 适应 操作 的 变更 需要 继续 学 
习 的 东西 。 在 第 一 种 情况 下 ,对 信息 和 进程 的 访问 仅 限 于 要 求 完 成 操作 的 个 人 。 这 种 方法 
将 未 授权 活动 的 可 能 性 最 小 化 ,这 就 要 求 个 人 对 与 信息 系统 的 使 用 或 维护 相关 联 的 威胁 和 
脆弱 性 的 本 质 进行 最 大 程度 的 理解 。 在 第 二 种 情况 下 ,要求 个 人 对 快速 发 展 的 信息 技术 特 
征 有 必要 的 了 解 , 以 便 更 好 地 认识 其 中 的 脆弱 性 。 

network encryption( 网 络 加 密 ) 

在 网 络 通信 安全 中 ,通过 网 络 传输 加 密 消息 的 技术 ,涉及 网 络 通信 加 密 的 方法 有 3 种 ， 
即 链 路 加 密 、 结 点 加 密 和 端 端 加 密 。 

链 路 加 密 要 求 对 不 同 通信 和 链 路 配置 密码 设备 ,因此 消息 在 进入 通信 和 链 路 之 前 被 加 密 , 在 
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离开 该 链 路 之 后 解密 ,再 在 进入 下 一 通信 链 路 之 前 用 一 个 不 同 的 密 钥 将 信息 加 密 , 如 此 重复 
直至 到 达 信息 传输 的 接收 地 ; 结 点 加 密 则 是 先 为 进入 结 点 的 加 密 消息 提供 解密 ,并 为 传输 
到 下 一 结 点 用 一 个 不 同 的 密 钥 再 将 信息 加 密 ; 端 端 加 密 不 涉及 中 间 结 点 的 解密 和 再 加 密 ， 
一 般 在 网 络 层 的 信息 传输 的 两 端 进行 加 /解密 操作 ,目前 最 常见 的 是 在 IP 层 采用 IPSEC 协 
议 进 行 的 加 密 , 这 样 只 需 在 通信 路 径 两 端 配置 密码 设备 即 可 。 

network-Level Firewall( 网 络 级 防火 墙 ) 

一 种 适用 于 网 络 层 的 防火 墙 。 这 种 防火 墙 通常 部 署 在 被 保护 网 络 与 外 部 网 络 的 连接 通 
道上 ,对 出 入 被 保护 网 络 的 信息 流 在 网 络 协议 分 组 一 级 进行 检测 和 控制 。 

non-repudiation( 抗 抵赖 ,不 可 否认 ,不 可 抵赖 ) 

用 于 防止 发 送 者 否认 自己 已 发 送 过 数据 或 其 数据 内 容 , 以 及 接收 者 否认 已 收 到 过 数据 
或 其 数据 内 容 的 特性 。 当 由 于 一 个 实体 不 承认 其 一 些 行为 或 行为 内 容 而 发 生 争论 时 ,解决 
这 种 纠纷 就 需要 一 种 方法 ,涉及 可 信 第 三 方 的 证 明 过 程 可 解决 上 述 争 论 。 使 用 公开 密码 体 
制 的 数字 签名 的 不 可 否认 特性 可 以 防止 一 个 签名 者 签署 一 个 文件 ,随后 又 否认 其 签名 的 
行为 。 

NTP(Network Time Protocol, 网 络 时 间 协 议 ) 

参照 无 线 电 和 因特网 上 的 原子 钟 以 保证 维持 精确 的 本 地 时 间 的 一 种 协议 ,这 是 一 个 在 
因特网 上 保证 本 地 时 钟 准确 计时 的 网 络 协议 , 它 能 使 分 布 于 各 处 的 时 钟 在 较 长 的 时 间 段 内 
保持 毫秒 级 的 同步 。 

packet(( 数 据 ) 包 , 报 文 分 组 ,分 组 ) 

通过 报 文 分 组 交换 网 络 进 行 发 送 的 数据 单位 , 它 是 计算 机 网 络 中 传输 数据 时 所 用 的 一 
种 数据 包装 形式 。“packet” 这 一 术语 的 使 用 是 不 严格 的 ,在 报 文 分 组 交换 网 络 中 使 用 报 文 
分 组 进行 传输 ,但 在 有 些 文献 中 此 术语 专 指 在 物理 网 络 中 传输 数据 的 单位 ,另外 一 些 文献 将 
因特网 看 作 是 一 种 报 文 分 组 交换 网 络 , 并 将 IP 数据 报 描述 为 报 文 分 组 。 

数据 包 是 数据 的 逻辑 组 合 , 它 包括 一 个 含有 控制 信息 的 报头 和 用 户 数据 ,报头 中 含有 报 
源 地 址 、 报 宿 地 址 及 其 他 信息 。 用 户 要 传输 的 数据 可 能 很 长 ,网 络 无 法 一 次 传输 出 去 ,于 是 
把 它 分 成 许多 较 小 的 部 分 ,并 依次 传送 。 为 了 重组 原 数 据 ,每 个 部 分 都 包含 与 原来 相同 的 报 
头 和 对 应 的 位 置 序 号 ,这 就 是 报 文 分 组 (简称 包 )。 包 常 被 用 来 表示 网 络 层 的 数据 组 单元 。 
术语 datagram( 数 据 报 ) ,frame( 帧 ) ,message( 报 文 ) 与 segment( 分 段 ) 也 被 用 于 描述 在 OSI 
参考 模型 的 不 同 层 与 各 种 技术 领域 中 的 逻辑 数据 组 。 

packet filter(( 数 据 ) 包 过 小 , 包 筛 选 , 报 文 分 组 过 滤 ) 

报 文 分 组 过 滤 的 机 制 允许 授权 的 程序 去 影响 帧 的 多 路 分 用 。 应 用 程序 使 用 包 过 滤器 原 
语 建立 捕获 报 文 分 组 的 判 据 ( 如 应 用 程序 规定 希望 捕获 在 帧 中 的 type 段 中 的 给 定 值 的 所 有 
报 文 分 组 )。 一 旦 操作 系统 接受 了 过 滤器 命令 , 它 就 开始 把 规定 类 型 匹配 的 所 有 报 文 分 组 放 
到 一 个 队列 中 。 应 用 程序 使 用 另外 一 部 分 报 文 过 滤器 机 制 从 这 个 队列 提取 报 文 分 组 。 报 文 
分 组 过 滤 可 以 存在 于 路 由 器 、 网 桥 或 独立 的 主机 中 ,有 时 也 称 为 分 组 屏蔽 。 它 是 在 网 络 层 上 
运行 的 技术 ,对 网 络 层 以 上 的 信息 则 无 理解 能 力 , 因 此 该 技术 本 身 对 网 络 的 保护 功能 是 一 些 
由 系统 提供 的 有 限 的 专门 机 制 , 只 允许 应 用 程序 与 较 低层 的 协议 相互 作用 ,所 以 在 安全 要 求 
较 高 的 场合 ,这 种 机 制 还 必须 配合 其 他 技术 来 加 强 过 滤 。 
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passive attack( 被 动 攻击 ) 

@ 在 这 类 攻击 中 ,攻击 者 以 各 种 方式 窃取 信息 ,但 不 破坏 信息 (如 修改 .删除 .伪造 、 添 
加 、 重 放 、 乱 序 和 制造 病毒 等 )。 被 动 攻 击 只 威胁 数据 的 机 密 性 。 

@ 在 密码 技术 中 指 一 个 密码 破译 方 企图 通过 简单 地 记录 数据 和 其 后 对 这 些 数据 的 分 
析 ( 例 如 在 密 钥 编码 中 确定 会 话 密 钥 ) 来 挫败 一 种 密码 技术 。 被 动 攻击 只 威胁 数据 的 机 密 
性 。 请 比较 active attack 。 

password( 口 令 , 通 行 字 ) 

用 来 鉴别 实体 身份 的 受 保护 的 或 秘密 的 字符 串 ,通常 是 用 户 访问 分 时 系统 或 网 络 资源 
时 输入 的 验证 身份 的 代码 。 用 户 输入 口令 时 ,屏幕 上 并 不 显示 所 输入 的 字符 ,常常 是 显示 一 
串 相同 的 类 似 “* ”这样 的 符号 。 不 过 ,访问 匿名 网 络 服务 虽然 也 要 求 用 户 输入 口令 ,但 所 输 
入 的 口令 可 以 是 任意 一 串 字 符 , 例 如 “guest”。 在 网 络 应 用 中 ,有 人 将 口令 或 通行 字 叫 作 密 
码 , 这 在 概念 上 是 不 严谨 的 ,但 这 样 说 的 人 多 了 也 就 约定 俗 成 了 ,我 国 银联 ATM 机 最 为 普 
遍地 采用 了 这 一 叫 法 。 

physical security( 物 理 安全 ) 

应 用 物理 障碍 或 控制 规程 作为 应 对 资源 和 敏感 信息 风险 的 防护 手段 和 对 抗 措施 。 

PIN(Personal Identfication Number, 个 人 身份 识别 号 ) 

访问 控制 中 识别 个 人 身份 的 标识 号 ,在 使 用 终端 或 访问 传输 信息 前 ,用 户 必须 输入 的 
唯一 的 个 人 号 码 。 这 个 号 码 在 有 的 场合 也 叫 口令 或 通行 字 。 

Ping Flooding(ping 泛滥 ,ping 淹没 ) 

ping 泛滥 是 企图 用 报 文 包 来 阻塞 或 淹没 网 络 通 信和 连接 的 端口 ,以 便 减 慢 或 阻止 通过 网 
络 的 合法 通信 流量 。 对 网 络 目 标 主 机 进行 一 系列 连续 的 ICMP 回应 请 求 (Echo Request) 报 
文 就 会 引起 目标 主机 的 ICMP 回应 (Echo Reply); 连续 的 请 求 与 回答 报 文 将 大 量 占 用 网 络 
带宽 ,使 网 络 变 慢 ,引起 合法 通信 流量 的 速度 明显 减 慢 ,到 最 后 完全 堵塞 。 此 类 攻击 能 有 效 
地 破坏 网 络 的 连通 性 和 可 用 性 ,所 有 TCP/IP 系统 均 可 能 受到 这 种 攻击 。 如 果 系统 受到 该 
类 攻击 必须 找 出 ping 源 , 然 后 使 它 停 下 来 。 当 然 , 最 好 的 办 法 可 能 是 重新 配置 组 织 的 外 界 
路 由 器 或 防火 墙 , 不 允许 ICMP 请 求 到 达 组 织 的 内 部 网 络 。 然 而 ,这 并 不 能 阻止 由 内 部 发 起 
的 ping 泛滥 攻击 。 

PKC(Public Key Cryptography, 公 开 密 钥 密码 学 ) 

公开 密 钥 密码 学 的 思想 是 在 1976 年 由 迪 菲 和 海尔 曼 (Diffie-Hellman) 提 出 的 。 其 基本 
思想 是 密 钥 成 对 出 现 ,一 个 为 加 密 密 钥 ,一 个 为 解密 密 钥 ,而 且 从 其 中 一 个 推算 出 另 一 个 是 
计算 上 不 可 行 的 。 在 这 种 密码 体制 中 ,加 密 密 钥 和 算法 公布 于 众 ,任何 人 都 可 用 别人 的 加 密 
密 钥 来 加 密 自己 要 传送 的 明文 消息 。 但 是 ,只 有 拥有 秘密 的 解密 密 钥 的 人 才能 将 传送 过 来 
的 已 加 密 的 明文 ( 即 密 文 ) 消 息 解 密 而 得 到 原 消息 。 

公开 密 钥 密码 体制 又 称 作 双 密 钥 密 码 体制 或 非 对 称 密码 体制 。 

PKI(Public Key Infrastructure, 公 钥 基 础 设施 ) 

PKI 是 一 套 集 生 成 密 钥 、 签 发 证 书 、 分 发 证 书 、 维 护 证 书 等 功能 于 一 体 的 公 钥 管理 基础 
设施 。 其 职能 包括 为 用 户 生 成 密 钥 ( 公 钥 、 私 钥 )、 分 发 数字 证 书 、 管 理 数 字 证 书 、 公 布 有 效 数 
字 证 书 和 无 效 数 字 证 书 等 。PKI 本 身 不 是 具体 的 设施 名 称 , 属 于 PKI 范畴 的 最 基本 的 设施 
为 CA, 即 证 书 机 构 ,此 外 还 有 KMI( 密 钥 管理 基础 设施 )`.PMI( 权 限 管理 基础 设施 ) 。 
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Policies and Procedures( 策 略 和 规程 ) 

完成 某 一 目标 的 方法 和 途径 ,以 及 实现 这 一 目标 的 符合 逻辑 的 规则 和 指令 集 。 

privacy( 个 人 保密 权 , 个 人 隐私 权 ) 

不 允许 访问 未 经 授权 的 账号 或 其 拥有 的 数据 信息 的 一 种 权力 , 它 控制 和 影响 与 个 体 有 
关 的 哪些 信息 可 以 被 收集 .存储 以 及 哪些 信息 可 以 被 谁 泄露 和 泄露 给 谁 。 由 于 这 一 术语 涉 
及 私人 权力 ,其 概念 不 可 能 精确 地 予以 限定 。 

Quality Assurance/Quality Control( 质 量 保证 /质量 控制 ) 

在 信息 系统 安全 中 指 保 证 过 程 一 致 性 和 完整 性 等 的 一 系列 规范 和 措施 。 

redundancy( 宛 余 ) 

信息 系统 中 设备 、 服 务 或 连接 等 的 重复 配置 或 部 署 ,以 便 在 故障 事件 后 元 余 的 设备 能 接 
蔡 执行 那些 故障 部 分 应 完成 的 工作 。 实 际 上 ,元 余 是 备份 的 一 部 分 。 

risk( 风 险 ) 

@ 在 信息 安全 中 ,风险 是 由 于 威胁 针对 系统 脆弱 性 进行 开发 和 利用 ,从 而 给 信息 系统 
造成 损失 的 潜在 危险 的 总 和 。 

@ 在 系统 工程 中 ,风险 是 对 获取 一 个 目标 或 与 技术 性 能 、 价 值 `. 进 度 有 关 的 需求 时 的 
不 确定 性 的 度量 。 风 险 级 别 按 发 生 的 概率 和 发 生 的 后 果 来 分 类 。 风 险 的 来 源 包括 技术 
(例如 可 行 性 、 可 操作 性 、 可 生产 性 ,可 测试 性 和 系统 有 效 性 )、 开 销 ( 例 如 预算 ) 、 进 度 ( 例 
如 技术 /材料 的 可 获 性 、 技 术 成 就 以 及 重大 事件 ), 以 及 规划 (例如 资源 .契约 ) 等 方面 的 
因素 。 

risk analysis( 风 险 分 析 ) 

在 信息 安全 中 指 确 定 风险 的 时 间 空 间 分 布 及 其 等 级 ,以 此 导出 防范 风险 的 安全 需求 的 
过 程 。 风 险 分 析 是 风险 管理 的 主要 组 成 部 分 。 

Risk Management( 风 险 管 理 ) 

确定 、 控 制 、 消 除 或 缩减 影响 系统 资源 安全 属性 和 不 间断 服务 能 力 的 不 确定 事件 的 总 过 
程 ,包括 风险 分 析 、 费 效 分 析 、 安 全 措施 选择 、 实 现 与 测试 、 安 全 防护 符合 度 评估 及 所 有 的 安 
全 检查 ,其 目标 是 将 风险 降低 到 能 够 获得 和 维持 指定 管理 机 构 的 批准 。 

因此 风险 管理 可 以 理解 为 这 样 的 一 个 过 程 ,即将 脆弱 性 、 威 胁 和 来 自 安全 事件 的 潜在 影 
响 与 实施 安全 措施 的 成 本 进行 综合 平衡 。 风 险 管理 的 目的 是 保证 所 有 的 信息 资产 得 到 正当 
的 、 充 分 的 保护 ,避免 不 必要 的 管理 资源 开销 。 随 着 潜在 威胁 范围 增 大 或 可 用 资源 减少 , 风 
险 管理 的 重要 性 愈 显 突出 。 

router( 路 由 器 ,路 由 选择 器 ) 

广义 地 说 ,路 由 器 是 负责 决定 在 网 络 (特别 是 因特网 ) 通 信 的 多 条 通路 中 选择 一 条 路 径 
传送 信息 流 的 设备 。 在 最 低层 ,一 个 物理 网 桥 就 是 一 个 路 由 选择 器 ,因为 它 决定 是 否 将 报 文 
分 组 从 一 条 物理 线路 传送 到 另 一 条 物理 线路 。 在 远程 网 络 中 ,每 个 单独 的 报 文 分 组 单独 选 
择 路 由 。 在 因特网 中 ,每 个 IP 网 关 就 是 一 个 路 由 选择 器 ,因为 它 使 用 IP 报 宿 地 址 选择 路 
由 。 路 由 器 使 用 一 个 或 多 个 准则 来 确定 一 个 网 络 信息 被 转发 的 最 佳 线路 ,根据 网 络 层 信息 
和 路 由 选择 表 做 出 传送 决定 。 路 由 选择 表 的 结构 通常 取决 于 路 由 选择 协议 。 

狭义 地 说 ,路 由 器 是 工作 于 网 络 层 的 设备 ,位 于 网 桥 或 L2 交换 机 工作 的 MAC 层 之 上 。 
路 由 器 使 用 网 络 层 的 信息 来 做 出 转发 和 过 滤 决 定 。 第 三 层 交 换 机 和 路 由 器 之 间 的 差别 已 经 
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变 得 很 模糊 ,因为 它们 都 是 根据 网 络 层 数据 做 出 判决 。 

路 由 器 有 时 也 称 为 网 关 ( 虽 然 这 种 网 关 定 义 正 变 得 越 来 越 不 经 常 使 用 ) 。 

security administrator (安全 管理 员 ( 器 )) 

在 组 织 的 信息 系统 中 对 于 定义 或 实施 安全 策略 的 某 一 部 分 或 多 个 部 分 负 有 责任 的 人 或 
系统 。 

security audit( 安 全 审计 ) 

为 了 测试 信息 系统 的 安全 控制 措施 或 设备 的 性 能 是 否 足够 ,为 了 保证 与 已 建立 的 策略 
和 操作 (过 程 ) 规 程 相符 合 ,为 了 发 现 安 全 漏洞 ,以 及 为 了 建议 在 控制 .策略 和 过 程 方 面 进行 
指定 的 改变 ,而 对 系统 日 志 与 活动 进行 的 独立 审查 和 分 析 。 

安全 审计 提供 了 一 种 不 可 忽视 的 安全 机 制 , 它 的 潜在 价值 在 于 经 事后 的 安全 审计 得 以 
检测 和 调查 安全 漏洞 ,目的 是 测试 系统 的 安全 控制 措施 是 否 恰当 ,保证 与 既定 策略 和 操作 
(过 程 ) 规 程 的 协调 一 致 ,有 助 于 做 出 损害 评估 ,以 及 对 控制 ,策略 与 规程 方面 指定 的 改变 做 
出 评价 。 安 全 审计 要 求 在 安全 审计 跟踪 中 记录 有 关 安 全 的 信息 ,分 析 和 报告 从 安全 审计 跟 
踪 中 得 来 的 信息 。 

收集 审计 跟踪 的 信息 ,列举 被 记录 的 安全 事件 的 类 别 ( 例 如 对 安全 要 求 的 明显 违反 或 成 
功 操作 的 完成 ) ,能 适应 各 种 不 同 的 需要 。 已 知 安全 审计 的 存在 可 对 某 些 潜在 的 侵犯 安全 的 
攻击 源 起 到 威慑 作用 。 

OSI 安全 审计 跟踪 将 考虑 选择 记录 什么 信息 ,在 什么 条 件 下 记录 信息 ,以 及 为 了 交换 安 
全 审计 跟踪 信息 所 采用 的 语法 和 语义 定义 。 

security domain( 安 全 域 ) 

一 个 信息 系统 构成 元 素 的 集合 ,处 于 一 个 安全 策略 和 一 个 安全 机 构 管 理 下 的 物理 或 逻 
辑 区 域 ,其 中 ,元 素 集合 的 特定 行为 服从 安全 策略 ,而 该 安全 策略 受到 该 安全 域 安全 机 构 的 
管理 。 安 全 域 的 行为 可 涉及 一 个 或 多 个 不 属于 该 域 的 元 素 , 但 至 少 有 一 个 元 素 必须 在 域 中 。 

security authority( 安 全 机 构 ) 

在 信息 系统 中 对 安全 策略 的 定义 、 实 现 或 实施 负责 的 一 个 实体 。 

security domain authority( 安 全域 机 构 ) 

在 一 个 安全 域内 对 实施 安全 策略 负责 的 安全 机 构 。 

security label( 安 全 标记 ,安全 标签 ) 

与 某 一 信息 系统 资源 (可 以 是 数据 单元 ,设备 或 进程 等 ) 密 切 相关 的 标记 ,这 些 标 记 为 该 
资源 命名 或 指定 某 些 安全 属性 。 这 种 标记 可 以 是 显 式 的 ,也 可 以 是 隐 含 的 ; 可 以 是 与 资源 
分 离 的 ,也 可 以 是 与 资源 不 可 分 离 的 。 

包含 数据 项 的 资源 可 能 具有 与 这 些 数据 相关 联 的 安全 标记 ,例如 指明 数据 敏感 性 级 别 
的 标记 。 常 常 必 须 在 传送 中 与 数据 一 起 传送 适当 的 安全 标记 。 安 全 标记 可 能 是 与 被 传送 的 
数据 相连 的 附加 数据 ,也 可 能 是 隐 含 的 信息 ,例如 使 用 一 个 特定 密 钥 加 密 数 据 所 隐 含 的 信 
息 ,或 由 该 数据 的 上 下 文 所 隐 含 的 信息 ,又 例如 数据 来 源 或 路 由 来 源 隐 含 。 明 显 的 安全 标记 
必须 是 清晰 、 可 辨认 的 ,以 便 对 它们 做 适当 的 验证 。 此 外 ,它们 还 必须 安全 ,可靠 地 依附 于 与 
之 关联 的 数据 。 

security policy (安全 策略 ,安全 政策 ) 

为 实现 安全 目标 提供 安全 服务 的 一 套 准则 , 它 是 规定 一 个 机 构 管理 、 保 护 与 分 发 信息 系 
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统 资产 的 法 规 与 条 例 的 集合 。 

security requirements( 安 全 需求 ) 

为 使 设备 信息、 应 用 及 设施 符合 安全 目标 的 要 求 ,根据 风险 分 析 结 果 确 定 需要 保护 的 
对 象 . 保 护 类 型 及 保护 等 级 。 

security threat( 安 全 威胁 ) 

对 信息 系统 进行 潜在 攻击 的 技术 和 方法 。 安 全 威胁 可 以 划分 为 3 个 级 别 , 其 中 A 级 威 
胁 为 信息 战 式 的 战争 威胁 ; B 级 威胁 为 有 组 织 的 分 布 式 协同 攻击 ; C 级 威胁 为 个 体式 的 信 
息 攻击 。 安 全 威胁 从 行为 特征 上 可 分 为 4 类 , 即 主动 威胁 、 被 动 威胁 、 偶 然 性 威胁 和 故意 性 
威胁 。 

security training( 安 全 培训 ) 

对 安全 应 知 应 会 知识 进行 灌输 和 训练 。 安 全 培训 将 信息 系统 涉及 的 与 信息 安全 相关 
的 知识 传授 给 那些 使 用 、 维 护 或 管理 信息 系统 的 人 。 经 过 良好 培训 的 员工 通过 对 信息 系 
统 进 行 精心 的 操作 和 维护 ,弥补 安全 控制 措施 和 过 程 管理 方面 的 不 足 或 缺陷 ,提高 安全 
保护 技术 和 安全 设备 的 保护 效能 。 安 全 培训 已 被 证 明 可 以 使 信息 安全 措施 的 投资 得 到 
最 大 收益 。 

sensitive information( 敏 感 信 息 ) 

由 于 有 意 或 无 意 地 泄露 .修改 或 破坏 可 能 造成 损失 或 危害 ,因而 需要 某 种 等 级 保护 的 
信息 。 

signature( 签 名 ,签字 ) 

签名 机 制 包括 两 个 过 程 , 即 对 数据 单元 签名 和 验证 签 过 名 的 数据 单元 。 

第 一 个 过 程 使 用 签名 者 私有 的 ( 即 独 有 的 和 机 密 的 ) 信 息 ,涉及 使 用 签名 者 的 私有 信息 
作为 私 钥 ,或 对 数据 单元 进行 加 密 ,或 产生 出 该 数据 单元 的 一 个 密码 校 验 值 。 第 二 个 过 程 所 
用 的 规程 与 信息 是 公之于众 的 ,但 不 能 够 从 它们 推断 出 该 签名 者 的 私有 信息 ,涉及 使 用 公开 
的 规程 与 信息 来 判定 该 签名 是 不 是 用 签名 者 的 私有 信息 产生 的 。 

签名 机 制 的 本 质 特征 为 该 签名 只 有 使 用 签名 者 的 私有 信息 才能 产生 出 来 ,因而 , 当 该 签 
名 得 到 验证 后 , 它 能 在 事后 的 任何 时 候 向 第 三 方 (例如 法 庭 或 仲裁 人 ) 证 明 只 有 该 私有 信息 
的 唯一 拥有 者 才能 产生 这 个 签名 。 见 digital signature。 

Social Engineering( 社 交工 程 , 社 会 工程 ) 

一 种 利用 社会 关系 或 社会 交往 间接 地 获取 信息 系统 脆弱 性 或 进入 系统 的 方法 ,然后 伪 
装 目的 地 用 户 或 管理 员 身 份 对 系统 进行 攻击 的 技术 或 方法 论 。 利 用 社会 工程 方法 进行 攻击 
的 典型 例子 如 电话 用 户 或 操作 员 自 称 是 已 获得 授权 的 用 户 ,然后 试图 获得 对 系统 的 非法 
访问 。 

switch( 交 换 ( 机 )) 

适用 于 电子 或 机 械 通信 设备 的 一 种 通用 术语 。 网 络 通信 交换 操作 在 OSI 模型 的 数据 
链 路 层 或 网 络 层 上 进行 。 这 些 设备 允许 在 需要 时 建立 连接 ,并 在 连接 会 话 结束 时 将 其 断 开 。 

symmetric cryptographic system( 对 称 密码 体制 ) 

一 种 含有 两 个 变换 的 密码 体制 ,一 个 是 发 方 的 加 密 变 换 , 另 一 个 是 收 方 的 解密 变换 。 
收发 两 方 使 用 相同 的 秘密 密 钥 (或 称 对 称 密 钥 ) ,或 者 虽 不 同 , 但 一 种 密 钥 可 以 很 容易 地 从 
另 一 种 密 钥 推导 出 来 。 
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system integrity( 系 统 完整 性 ) 

实现 信息 系统 正常 运行 及 安全 保护 机 制 的 硬件 和 软件 的 完备 性 时 所 处 的 状态 。 通 过 系 
统 完整 性 可 衡量 计算 机 系统 、 数 据 处 理 系统 或 通信 系统 的 硬件 与 软件 的 配置 是 否 齐 全 ,逻辑 
规划 和 操作 是 否 正确 ,以 及 在 硬件 和 软件 两 个 方面 是 否 都 得 到 了 可 靠 、 全 面 、 充 分 的 保护 

TCB(Trusted Computing Base, 可 信 计 算 基 ) 

计算 机 系统 内 保护 装置 的 总 体 , 包 括 硬件 .固件 .软件 和 负责 执行 安全 策略 的 组 织 体 。 
它 建 立 了 一 个 基本 的 保护 环境 ,并 提供 一 个 可 信 计 算 机 系统 所 要 求 的 附加 用 户 服务 。 系 统 
的 TCB 是 一 个 四 元 组 , 即 [TCB 二 (M,P,S,0O)], 其 中 M 是 软件 ,硬件 与 固件 的 集合 , 它 在 
存 取 (访问 ) 控 制 策略 P 的 基础 上 处 理 主体 集合 S 对 客体 集合 O 的 存 取 (访问 )。 

threats( 威 胁 ) 

威胁 是 指 开发 和 利用 信息 系统 脆弱 性 ,导致 信息 系统 资源 被 消耗 ,欺骗 ,滥用 或 运营 流 
程 被 破坏 等 ,从 而 对 信息 系统 造成 (有 意 或 无 意 的 ) 危 害 或 不 利 影响 的 行为 或 企图 。 威 胁 总 
是 存在 的 ,威胁 发 生 的 时 间 和 频 度 不 能 被 控制 。 因 此 ,信息 安全 措施 必须 被 设计 成 能 够 阻止 
或 最 小 化 任何 针对 信息 系统 的 威胁 。 

training function( 培 训 功 能 ) 

在 信息 系统 中 ,为 了 充分 有效 地 进行 业务 操作 、 系 统 维护 和 应 急 处 置 ,为 了 有 关 员 工 达 
到 和 维持 必要 的 知识 和 训练 水 平 所 必须 完成 的 任务 、 活 动 和 行动 。 

Trains Model Framework( 培 训 模 型 框架 ) 

与 角色 和 责任 相关 的 培训 需求 策略、 规划 ,方案 和 流程 的 体系 性 轮廓 。 

Trojan Horse( 特 洛 伊 木马 ) 

具有 明显 或 隐 含 某 种 特定 功能 的 计算 机 程序 。 它 包含 了 附加 的 (隐藏 的 ) 能 暗中 利用 合 
法 授权 的 功能 ,以 此 达到 对 信息 系统 及 其 资源 的 未 授权 操作 、 窃 取 、 利 用 或 破坏 的 目的 。 传 
说 中 和 希腊 人 打败 特洛伊 人 是 凭借 一 头 巨型 木马 攻 入 特洛伊 城 的 ,因为 木马 内 部 藏 有 武士 ,但 
特洛伊 人 没有 识破 这 一 木马 计 。 计 算 机 借用 此 术语 ,通常 指 某 些 隐 含 有 病毒 或 恶意 功能 的 
程序 ,看 似 一 个 完成 正常 业务 的 软件 体 ,实则 含有 陷阱 或 攻击 程序 的 通信 行为 。 

TTP(Trusted Third Party, 可 信任 第 三 方 ) 

在 安全 策略 背景 下 对 某 些 安全 相关 活动 来 说 可 以 信任 的 安全 机 构 或 其 代理 。 

tunnel( 隧 道 ) 

将 一 个 协议 格式 的 数据 包 或 报 文 封闭 进 另 一 个 协议 格式 的 数据 包 中 传输 的 过 程 。 被 封 
装 的 协议 数据 在 网 络 层 是 不 被 网 络 设备 识别 和 处 理 的 ,因此 类 似 包 过 滤 防 火 墙 是 无 法 识别 
和 过 滤 这 些 协 议 数据 的 。 

tunneling( 隧 道 技术 ,隧道 效应 ,隧道 结构 ) 

为 在 运行 不 同 协议 的 网 络 之 间 传 递 数据 包 或 消息 报 文 而 采取 的 一 种 传送 技术 和 体系 结 
构 ,被 设计 用 来 提供 实现 任何 标准 的 点 到 点 封装 方案 所 需要 的 服务 。 它 可 能 是 一 个 具有 有 自 
己 特定 协议 的 复杂 网 络 , 却 可 以 传递 其 他 网 络 协议 数据 。 例 如 通过 一 个 X. 25“ 隧 道 " 发 送 
TCP/IP 通信 流量 , 先 建立 一 条 X. 25 连接 ,然后 发 送 TCP/IP 报 文 分 组 ,这 些 报 文 分 组 就 像 
数据 一 样 在 X. 25 网 络 中 传输 。X. 25 系统 沿 连接 传递 报 文 分 组 ,并 把 它们 递送 到 另 一 个 
X. 25 端点 ,在 那里 再 将 报 文 分 组 提取 出 来 转发 到 报 文 分 组 的 目的 地 。 因 为 隧道 技术 处 理 报 
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文 分 组 如 同 处 理 数据 一 样 ,因而 不 考虑 该 报 文 的 自 标识 帧 。 这 样 ,只 有 当 X. 25 的 两 端 事先 
都 同意 交换 TCP/IP 报 文 分 组 时 ,这 种 技术 才 有 效 。 换 而 言 之 ,隧道 技术 是 指 协议 A 被 封 
装 在 协议 B 的 内 部 ,这 样 协 议 A 就 把 协议 B 当成 是 一 个 数据 链 路 层 以 通过 该 链接 网 络 。 隧 
道 技术 被 用 来 在 管理 域 之 间 传输 数据 ,这 些 管理 域 使 用 的 协议 不 受 连接 它们 的 因特网 的 支 
持 。 在 实现 任何 标准 的 点 到 点 封装 模式 时 ,需要 这 种 网 络 结构 的 服务 。 

Unique Identifier( 唯 一 标识 符 ) 

标明 身份 的 不 与 任何 第 三 方 实体 属性 参数 相同 的 数字 或 字母 符号 集合 。 唯 一 标识 符 是 
指 一 个 代码 或 一 组 代码 ,它们 是 机 构 确认 个 人 身份 的 依据 。 标 识 符 仅 被 已 指定 的 实体 拥有 
和 使 用 。 

virus( 病 毒 ) 

在 计算 机 系统 中 复制 自己 ,把 自己 与 其 他 程序 合并 起 来 ,共存 于 计算 机 系统 中 的 一 种 程 
序 。 它 还 可 以 通过 修改 其 他 程序 或 文件 把 自己 的 版 本 复制 到 被 修改 的 程序 或 文件 中 ,从 而 
达到 传染 的 目的 。 计 算 机 病毒 由 3 个 部 分 组 成 , 即 病毒 引导 部 分 、 病 毒 传染 部 分 和 病毒 表现 
(又 称 破 坏 ) 部 分 。 病 毒 的 特点 是 传染 性 、 潜 伏 性 、 隐 项 性 和 爆发 性 。 

vulnerabilities( 脆 弱 性 ) 

脆弱 性 是 信息 系统 及 组 件 以 及 运行 环境 中 的 缺陷 和 漏洞 。 威 胁 可 能 利用 脆弱 性 给 信息 
系统 带 来 危害 或 不 利 影响 ,适当 的 安全 措施 可 用 于 减 小 或 消除 脆弱 性 。 

WAN(Wide-Area Network ,广域网 ,广域网 络 ) 

跨越 较 大 地 域 范围 的 一 种 网 络 ,通常 是 跨越 几 十 公里 到 几 千 公 里 ,甚至 全 国 性 的 或 国际 
性 的 网 络 。 与 局 域 网 相 比 ,WAN 通常 速度 慢 、 延 迟 大 。 帧 中 继 、SMDS 和 X. 25 都 是 WAN 
的 例子 ,实际 上 ,因特网 是 全 球 最 大 的 广域网 。 请 比较 LAN 和 MAN。 

Waste,Fraud and Abuse( 损 耗 、 欺 骗 和 滥用 ) 

对 系统 造成 危害 的 3 种 最 基本 方式 。 

Worm( 蠕 虫 ) 

(网 络 ) 蠕虫 是 由 Xerox 公司 的 Shoch & Hupp 在 ACM 通信 (1982 年 3 月 ) 中 第 一 次 
定义 的 。 它 是 一 种 计算 机 程序 ,能 自我 复制 并 自行 传播 。 蠕 虫 与 病毒 不 同 , 它 只 在 网 络 环境 
中 大 量 滋生 。1988 年 11 月 出 现 的 因特网 蠕虫 可 能 是 最 有 名 的 , 它 成 功 地 覆盖 了 因特网 ,在 
全 球 6000 多 个 网 络 系统 上 自我 传播 。 

Zone/Compartmentalization( 区 域 / 分 隔 区 ) 

利用 物理 和 逻辑 方法 将 一 个 结构 完整 的 区 域 分 离 成 两 个 (或 以 上 ) 具 有 某 种 相同 属性 特 
征 的 层次 化 或 类 别 化 的 更 小 一 些 的 区 域 。 
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附录 B 


Authentication, Authorization and 
Accountability 

Access Control Information 

Access Control List 

Association Control Service Element 
ADF Combination 

Access Control Decision Function 
Access Control Decision Information 
AEF Combination 

Access Control Enforcement Function 
Advanced Encryption Standard 
Authentication Header 
Authentication Information 
Application Program Interface 
Address Resolution Protocol 
Abstract Syntax Notation One 
Alternative System Review 
Asynchronous Transfer Mode 
Acceptable Use Policy 
Broadband-ISDN 

Base Practices 
Browser-Server-Application 
Certification and Accreditation 
Certificate Authority 

Continuous Acquisition Life-cycle 
Support 

Common Criteria 

Configuration Control Board 
Common Criteria Test Lab 

Critical Design Review 


与 本 书 有 关 的 缩 略语 


鉴别 .权限 和 可 确认 性 


访问 控制 信息 
访问 控制 表 

关联 控制 服务 元 素 
ADF 组 合 

访问 控制 判决 功能 
访问 控制 判决 信息 
AEF 组 合 

访问 控制 执行 功能 
高 级 加 密 标准 
鉴别 头 

鉴别 信息 

应 用 程序 接口 

地 址 解析 协议 
抽象 语法 表示 法 1 
备 选 系统 评审 
异步 传送 模式 

可 接受 使 用 策略 
宽带 ISDN 

基本 实施 
浏览 器 /服务 器 应 用 
认证 与 认可 
证 书 机 构 
连续 获取 生命 期 支持 


通用 准则 

配置 控制 委员 会 
通用 准则 测试 实验 室 
关键 设计 评审 


CDRL 
CHAP 
CI 
CLID 
CM 
CMIS/ 
CMIP 
CMISE 
CMM 
CMOL 


CMOT 


CNNIC 
COEA 


Contract Data Requirement List 

Challenge Handshake Authentication Protocol 
Configuration Item 

Client ID 


Configuration Management 


Common Management Information Service/Common 


Management Information Protocol 

Common Management Information Service Element 
Capability Maturity Model 

Common Management Information Protocol Over 
Logical Link Layer 

Common Management Information Protocol Over 
TCP/IP 

China National Network Information Center 


Cost and Operational Effectiveness Analysis 


COMPUSEC Computer security 


CONOP 
COS 
CSCI 
CWBS 
DAA 
DBMS 
DES 
DESE 
DH 
DID 
DNS 
DOI 
DS 
DT&E 
DTE 
DTS 
EAL 
ECP 
EDI 


CONcept of OPeration 

Class Of Service 

Computer Software Configuration Item 
Contract Work Breakdown Structure 
Designated Approving Authority 
Database Management System 

Data Encryption Standard 

DES Encryption 

Diffie- Hellman 

Data Item Description 

Domain Name System 

Domain of Interpretation 

Digital Signature 

Development Test and Evaluation 
Data Terminal Equipment 

Data Tracking Sheet 

Evaluation Assurance Level 
Encryption Control Protocol 
Electronic Data Interchange 
Electronic Mail 

Encapsulation Security Payload 
Evaluation Summarization Report 
Evaluation Technology Report 
Federal Bureau of Investigation 
Functional Configuration Audit 
Fiber Distributed Data Interface 
Frequency Division Multiple Access 


Frequency Hopped Spread Spectrum 
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合同 数据 需求 列表 

质询 握手 鉴别 协议 

配置 项 

客户 ID 

配置 管理 

公共 管理 信息 服务 /公共 管理 信息 
协议 

公共 管理 信息 服务 元 素 

能 力 成 熟 度 模型 

逻辑 链 路 层 上 的 公共 管理 信息 协议 


运行 在 TCP/IP 上 的 公共 管理 信息 
协议 

中 国 国家 网 络 信息 中 心 
成 本 和 运行 有 效 性 分 析 
计算 机 安全 
(客户 的 ?操作 概念 
服务 类 型 
计算 机 软件 配置 项 
合同 工作 细 目 分 类 结构 
指定 批准 机 构 
数据 库 管 理 系统 

[ 美 ] 数 据 加 密 标 准 
(微软 ) 加 密 ( 协 议 ) 
Diffie-Hellman( 公 开 密 码 算 法 ) 
数据 项 描述 

域名 系统 

解释 域 

数字 签名 

开发 测试 和 评估 

数据 终端 设备 

数据 跟踪 表 ( 单 ) 

评估 保证 级 

加 密 控制 协议 

电子 数据 交换 
电子 邮 ( 函 ) 件 

封装 安全 载荷 
评估 总 结 报告 

评估 技术 报告 

[ 美 ] 国 家 联邦 调查 局 
功能 配置 审计 

分 布 式 光纤 数据 接口 
频 分 多 址 访问 ( 存 取 ) 
跳 频 扩展 频谱 技术 
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息 安 全 管理 概论 


GMITS 
GP 
HCI 
HDLC 
HGW 
IATF 
ICMP 


ICV 
ID 
ILS 


INFOSEC 
IOC 

IP 

IPCP 
IPOA 
IPSec 
ISAKMP 


ISMS 
ISO 


Guidelines for the management of IT security 
Generic Practices 

Hiding Confidentiality Information 
High-level Data Link Control 

Home Gateway 

Information Assurance Technical Framework 


Internet Control Message Protocol 


Integrity Check Value 
Identification 


Integrated Logistics Support 


INFOrmation system SECurity 
Initial Operational Capability 
Internet Protocol 

IP Control Protocol 

IP Over ATM 

IP Security 


Internet Security Association and Key Management 


Protocol 

Information Security Management System 
International Standard Organization 
Internet Service Provider 

Information System Security Engineering 


Information Technology 


Information Technology Security Evaluation Criteria 


Independent Verification and Validation 
Key Distribution Center 

Key Management Infrastructure 

Key Translation Center 

Local Area Network 

Life-Cycle INFOSEC Engineering 
Medium Access Control 

Mandatory Access Control 

Message Authentication Code 
Metropolitan Area Network 
Management Information Base 

Message Integrity Code 

Multiplexing ID 

Multilevel Information Systems Security Initiative 
Master Key 

Mission(Capability) Needs Statement 
Microsoft Point To Point Encryption 
Main VLAN 


IT 安全 管理 指南 

通用 实施 

隐藏 机 密 性 (的 ) 信 息 

高 级 数据 链 路 控制 

总 部 网 关 

信息 保障 技术 框架 

互联 网 控制 消息 协议 ,因特网 控制 
消息 协议 

完整 性 校 验 值 

识别 

一 体 化 的 后 勤 支持 /综合 的 后 勤 
支持 

信息 系统 安全 

初始 运行 能 力 ,初始 操 作 能 力 
互联 网 协议 

IP 控制 协议 

ATM 上 的 IP 

IP( 层 ) 安 全 (协议 ) 

因特网 安全 关联 和 密 钥 管理 协议 


信息 安全 管理 体系 
国际 标准 化 组 织 
因特网 服务 供应 商 
信息 系统 安全 工程 
信息 技术 

信息 技术 安全 评估 准则 
独立 验证 和 证 实 

密 钥 分 发 中 心 

密 钥 管理 基础 设施 

密 钥 转移 中 心 

局 域 网 

生命 期 信息 系统 安全 工程 
介质 访问 控制 

强制 访问 控制 

消息 鉴别 码 

城 域 网 

管理 信息 库 

消息 完整 性 编码 
复 用 ID 

多 级 信息 系统 安全 倡议 
主 密 钥 

任务 (能 力 ) 要 求 说 明 
(微软 ) 点 到 点 加 密 ( 协 议 ) 
主 虚拟 局 域 网 


NAS 
NAT 
NCP 
NI 
N-ISDN 
NOS 
NR-TTP 
OA 
OAN 
ODP 
OID 
OPM 
ORD 
OSA 
OSI 
OSI/RM 
OSIE 
OT&E 
P3I 

PA 

PC 

PCA 
PDCA 


PDR 
PDU 
PIN 
PKI 
PM 
PMI 
PMO 
PMP 
PP 
PPP 
PPTP 
PVG 
PWBS 
QoS 
RAA 
RADIUS 
RBAC 
ROSE 
SAPI 
SDA 


Network Access Server 

Network Address Translation 
Network Control Protocol 

National Information Infrastructure 
Narrow-ISDN 

Network Operating System 
Non-repudiation-TTP 

Office Automation 

Operation Area Network 

Open Distributed Processing 
Object identifier 

Office of the Personal Management 
Operational Requirements Document 
Open System Architecture 

Open System Interconnection 

OSI Reference Model 

OSI Environments 

Operational Test and Evaluation 
Pre-Planned Product Improvement 
Process Area 

Personal Computer 

Physical Configuration Audit 
Plan,Do,Check and Act 


Preliminary Design Review 

Protocol Data Unit 

Personal Identification Number 
Public Key Infrastructure 

Program Manager 

Privilege Management Infrastructure 
Program Management Office 
Program Management Plan 
Protection Profile 

Point To Point Protocol 

Point To Point Tunneling Protocol 
patch and vulnerability group 
Program Work Breakdown Structure 
Quality of Service 


(Security) Risk Acceptance Authority 
Remote Authentication Dial-In User Service 


Role-Based Access Control 


Remote Operations Service Element 


Security Application Program Interface 


Security Domain Authority 
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网 络 访问 服务 器 

网 络 地 址 转换 

网 络 控制 协议 

国家 信息 基础 设施 

窄带 ISDN 

网 络 操作 系统 

抗 抵赖 可 信 第 三 方 

办 公 自 动 化 
操作 域 网 ,运行 域 网 
开放 分 布 式 处 理 

对 象 (客体 ) 标 识 符 

人 事 管理 办 公 室 

运行 需求 文档 ,操作 需求 文档 
开放 系统 体系 结构 

开放 系统 互 连 
OSI 参 考 模型 

开放 系统 互 连 环境 

操作 测试 与 评估 ,运行 测试 与 评估 
预 ( 先 ) 计 划 的 产品 改进 
过 程 区 

个 人 计算 机 

物理 配置 审计 

规划 、 实 施 、 检 查 和 改进 (模型 )， 
PDCA 模型 

初级 设计 评审 

协议 数据 单元 

个 人 标识 号 ,个 人 身份 号 
公开 密 钥 基础 设施 
程序 管理 员 

授权 /权限 管理 基础 设施 
项 目 管理 办 公 室 

项 目 管理 计划 

保护 轮廓 

点 到 点 协议 

点 到 点 隧道 协议 

补丁 和 脆弱 性 (处 理 ) 组 
项 目 工作 分 类 结构 

服务 质量 

(安全 ) 风 险 验 收 ( 权 威 ) 机 构 
远程 鉴别 拨 入 用 户 服 务 
基于 角色 的 访问 控制 
远程 操作 服务 元 素 
安全 应 用 程序 接口 
安全 域 机 构 


息 安全 管理 概论 

SDNS Secure Data Network System 

SDU Service Data Unit 

SE System Engineering 

SE-CMM Systems Engineering Capability Maturity Model 

SEDS System Engineering Detailed Schedule 

SEMP System Engineering Management Plan 

SEMS System Engineering Main Schedule 

SF Security Function 

SFA Security Fault Analysis 

SFP Security Function Policy 

SFR System Functional Review 

SI Security Information 

SMIB Security Management Information Base 

SNA System Network Architecture 

SNMP Simple Network Management Protocol 

SOF Strength of Function 

SOW Statement of Work 

SP Service Provider 

SPD Security Policy Database 

SPI Security Parameter Index 

SPO System Program Office 

SQL Structured Query Language 

SRM Security Risk Management 

SRR System Requirement Review 

SSAM Systems Security Engineering Capability Maturity 
Model (SSE-CMM) Appraisal Method 

SSE Systems Security Engineering 

SSE-CMM Systems Security Engineering Capability Maturity 
Model 

SSR Software Specification Review 

ST Security Target 

STAR System Threat Assessment Report 

STDM Statistical Time Division Multiplexing 

SVR Security Verification Review 

TAFIM Technical Architecture Framework for Information 
Management 

TCP Transmission Control Protocol 

TCSEC Trusted Computer System Evaluation Criteria 

TEMPEST Transient ElectroMagnetic Pulse Emanation STandard, 
Telecommunications Electronics Material Protected 
from Emanating Spurious Transmissions 

TNG Trusted Network Guideline 

TOE Target of Evaluation 

TPM Technical Performance Measurement 


安全 数据 网 系统 

服务 数据 单元 

系统 工程 

系统 工程 能 力 成 熟 度 模型 
系统 工程 详细 进度 表 
系统 工程 管理 计划 

系统 工程 主 进度 表 

安全 功能 

安全 故障 分 析 

安全 功能 策略 

系统 功能 评审 

安全 信息 

安全 管理 信息 库 
系统 网 络 体系 结构 
简单 网 络 管理 协议 
功能 强度 
工作 说 明 , 工 作 陈述 
服务 供应 商 

安全 策略 数据 库 

安全 参数 索引 
系统 项 目 办 公 室 
结构 化 查询 语言 

安全 风险 管理 

系统 需求 评审 

系统 安全 工程 能 力 成 熟 度 模型 评 
估 方 法 

系统 安全 工程 

系统 安全 工程 能 力 成 熟 度 模型 


软件 规范 评审 

安全 目标 

系统 威胁 评估 报告 
统计 时 分 复 用 (技术 

安全 验证 评审 

信息 管理 的 技术 体系 结构 框架 


传输 控制 协议 

可 信 计 算 机 系统 评估 准则 

瞬 态 电磁 脉冲 辐射 [标准 ], 防 电磁 
泄露 [技术 ] 


可 信和 网 络 指南 
评估 对 象 
技术 性 能 测量 


TRR 
TSC 


TSDM 
TSF 
TSFI 
TSP 
TSP 
TP 
V&V 
VPN 
WAN 
WWW 


Test Ready Review 
TSF Scope of control 


Trusted Software Development Methodology 
TOE Security Function 

TSF Interface 

TOE Security Policy 

Telecommunication Service Provider 
Trusted Third Party 

Verification & Validation 

Virtual Private Network 

Wide Area Network 

World Wide Web 
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附录 B 与 本 书 有 关 的 缩 略 


测试 准备 就 绪 评审 

评估 对 象 安全 功能 控制 范围 ,TSF 
控制 范围 

可 信 软 件 开发 方法 学 

评估 对 象 安全 功能 ,TOE 安全 功能 
评估 对 象 安全 功能 接口 ,TSF 接口 

评估 对 象 安全 策略 ,TOE 安全 策略 
通信 服务 供应 商 

可 信 第 三 方 

验证 与 证 实 

虚拟 专 (用 ) 网 

广域网 

万 维 网 


[14] 


[15] 


[16] 
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